MaxPatrol SIEM

Выявляет инциденты ИБ, ведущие к нарушению киберустойчивости компании

T1547.003: Поставщики времени

Злоумышленники могут использовать поставщики времени для запуска DLL-библиотек при загрузке системы. Служба времени Windows (W32Time) обеспечивает синхронизацию времени между доменами и в их пределах. Поставщики времени W32Time отвечают за получение меток времени с аппаратных и сетевых ресурсов и передачу этих значений другим клиентам в сети.

Поставщики времени реализуются в виде динамических библиотек (DLL), которые регистрируются в подключах HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\W32Time\TimeProviders\. Диспетчер поставщиков времени, управляемый диспетчером служб, загружает и запускает поставщики времени, указанные и включенные в этом ключе, при запуске системы и (или) изменении параметров.

Злоумышленники могут использовать эту архитектуру для закрепления в системе, в частности, путем создания нового подключа с произвольным именем и параметром DllName, указывающим на вредоносную DLL. Для регистрации поставщика времени требуются привилегии администратора, хотя выполнение будет происходить в контексте учетной записи Local Service.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_defense_evasion: PT-CR-1360: Suspicious_Registry_Value: Злоупотребление реестром Windows, что может быть признаком подготовки к атаке: закрепления, повышения привилегий, горизонтального перемещения, предотвращения обнаружения, сбора данных и другой вредоносной активности
mitre_attck_persistence: PT-CR-1346: Time_Providers_Persistence: Закрепление путем изменения настроек в разделе TimeProviders

Способы обнаружения

IDDS0011Источник и компонент данныхМодуль: Загрузка модуляОписание

There is no restriction on the number of custom time providers registrations, though each may require a DLL payload written to disk.

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Monitor newly executed processes, such as the W32tm.exe utility. The Sysinternals Autoruns tool may also be used to analyze auto-starting locations, including DLLs listed as time providers.

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Monitor executed commands and arguments that may abuse time providers to execute DLLs when the system boots.

IDDS0024Источник и компонент данныхРеестр Windows: Изменение ключа реестра WindowsОписание

Monitor for changes made to windows registry keys and/or values modifying W32Time information in the Registry.

Меры противодействия

IDM1024НазваниеОграничение прав доступа к рееструОписание

Consider using Group Policy to configure and block modifications to W32Time parameters in the Registry.

IDM1022НазваниеОграничение разрешений для файлов и каталоговОписание

Consider using Group Policy to configure and block additions/modifications to W32Time DLLs.