T1547.003: Поставщики времени
Злоумышленники могут использовать поставщики времени для запуска DLL-библиотек при загрузке системы. Служба времени Windows (W32Time) обеспечивает синхронизацию времени между доменами и в их пределах. Поставщики времени W32Time отвечают за получение меток времени с аппаратных и сетевых ресурсов и передачу этих значений другим клиентам в сети.
Поставщики времени реализуются в виде динамических библиотек (DLL), которые регистрируются в подключах HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\W32Time\TimeProviders\. Диспетчер поставщиков времени, управляемый диспетчером служб, загружает и запускает поставщики времени, указанные и включенные в этом ключе, при запуске системы и (или) изменении параметров.
Злоумышленники могут использовать эту архитектуру для закрепления в системе, в частности, путем создания нового подключа с произвольным именем и параметром DllName, указывающим на вредоносную DLL. Для регистрации поставщика времени требуются привилегии администратора, хотя выполнение будет происходить в контексте учетной записи Local Service.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
mitre_attck_defense_evasion: PT-CR-1360: Suspicious_Registry_Value: Злоупотребление реестром Windows, что может быть признаком подготовки к атаке: закрепления, повышения привилегий, горизонтального перемещения, предотвращения обнаружения, сбора данных и другой вредоносной активности mitre_attck_persistence: PT-CR-1346: Time_Providers_Persistence: Закрепление путем изменения настроек в разделе TimeProviders
Способы обнаружения
| ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Отслеживайте выполнение команд с аргументами, которые могут запускать DLL-библиотеки с помощью поставщиков времени при загрузке системы. |
|---|
| ID | DS0011 | Источник и компонент данных | Модуль: Загрузка модуля | Описание | Можно зарегистрировать любое количество пользовательских поставщиков времени, и для каждого из них может потребоваться запись полезной нагрузки в виде DLL на диск . |
|---|
| ID | DS0024 | Источник и компонент данных | Реестр Windows: Изменение ключа реестра Windows | Описание | Отслеживайте изменения в ключах и (или) значениях реестра Windows, которые модифицируют данные W32Time в реестре. |
|---|
| ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Отслеживайте запуск новых процессов, таких как W32tm.exe . Для анализа путей автоматического запуска, включая DLL-библиотеки, зарегистрированные в качестве поставщиков времени, может использоваться инструмент Sysinternals Autoruns . |
|---|
Меры противодействия
| ID | M1022 | Название | Ограничение разрешений для файлов и каталогов | Описание | По возможности используйте групповую политику для настройки и блокирования добавлений и изменений DLL-библиотек W32Time . |
|---|
| ID | M1024 | Название | Ограничение прав доступа к реестру | Описание | По возможности используйте групповую политику для настройки и блокирования изменений параметров W32Time в реестре . |
|---|