T1547.003: Поставщики времени
Злоумышленники могут использовать поставщики времени для запуска DLL-библиотек при загрузке системы. Служба времени Windows (W32Time) обеспечивает синхронизацию времени между доменами и в их пределах. Поставщики времени W32Time отвечают за получение меток времени с аппаратных и сетевых ресурсов и передачу этих значений другим клиентам в сети.
Поставщики времени реализуются в виде динамических библиотек (DLL), которые регистрируются в подключах HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\W32Time\TimeProviders\
. Диспетчер поставщиков времени, управляемый диспетчером служб, загружает и запускает поставщики времени, указанные и включенные в этом ключе, при запуске системы и (или) изменении параметров.
Злоумышленники могут использовать эту архитектуру для закрепления в системе, в частности, путем создания нового подключа с произвольным именем и параметром DllName
, указывающим на вредоносную DLL. Для регистрации поставщика времени требуются привилегии администратора, хотя выполнение будет происходить в контексте учетной записи Local Service.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
mitre_attck_defense_evasion: PT-CR-1360: Suspicious_Registry_Value: Злоупотребление реестром Windows, что может быть признаком подготовки к атаке: закрепления, повышения привилегий, горизонтального перемещения, предотвращения обнаружения, сбора данных и другой вредоносной активности
mitre_attck_persistence: PT-CR-1346: Time_Providers_Persistence: Закрепление путем изменения настроек в разделе TimeProviders
Способы обнаружения
ID | DS0011 | Источник и компонент данных | Модуль: Загрузка модуля | Описание | There is no restriction on the number of custom time providers registrations, though each may require a DLL payload written to disk. |
---|
ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Monitor newly executed processes, such as the W32tm.exe utility. The Sysinternals Autoruns tool may also be used to analyze auto-starting locations, including DLLs listed as time providers. |
---|
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Monitor executed commands and arguments that may abuse time providers to execute DLLs when the system boots. |
---|
ID | DS0024 | Источник и компонент данных | Реестр Windows: Изменение ключа реестра Windows | Описание | Monitor for changes made to windows registry keys and/or values modifying W32Time information in the Registry. |
---|
Меры противодействия
ID | M1024 | Название | Ограничение прав доступа к реестру | Описание | Consider using Group Policy to configure and block modifications to W32Time parameters in the Registry. |
---|
ID | M1022 | Название | Ограничение разрешений для файлов и каталогов | Описание | Consider using Group Policy to configure and block additions/modifications to W32Time DLLs. |
---|