T1547.004: DLL-библиотеки, загружаемые с помощью Winlogon

Злоумышленники могут злоупотреблять возможностями Winlogon для запуска DLL и (или) исполняемых файлов при входе пользователя в систему. Winlogon.exe — это компонент Windows, отвечающий за действия при входе или выходе из системы, а также за обработку последовательности клавиш Ctrl-Alt-Delete, известной как secure attention sequence (SAS). Записи реестра в ключах HKLM\Software[\Wow6432Node\]\Microsoft\Windows NT\CurrentVersion\Winlogon</code> и HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon</code> используются для управления дополнительными вспомогательными программами и функциональными возможностями, поддерживающими Winlogon.

Вредоносное изменение этих ключей реестра может привести к тому, что Winlogon загрузит и выполнит вредоносные DLL и (или) исполняемые файлы. В частности, известно, что для эксплуатации могут быть уязвимы следующие подключи :

  • Winlogon\Notify — указывает DLL-библиотеки пакетов уведомлений, которые обрабатывают события Winlogon.
  • Winlogon\Userinit — указывает на userinit.exe, программу инициализации пользователей, выполняемую при входе в систему.
  • Winlogon\Shell — указывает на explorer.exe, оболочку системы, запускаемую при входе пользователя в систему.

Злоумышленники могут использовать эти возможности для систематического выполнения вредоносного кода и закрепления в системе.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_persistence: PT-CR-267: Registry_Winlogon_Helper: Закрепление путем изменения настроек компонента Winlogon

Способы обнаружения

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Отслеживайте выполнение команд с аргументами, которые могут использоваться для запуска DLL и (или) исполняемых файлов с помощью Winlogon при входе пользователя в систему.

IDDS0011Источник и компонент данныхМодуль: Загрузка модуляОписание

Новые DLL, записанные в каталог System32, которые не связаны с известным безопасным программным обеспечением или исправлениями, должны рассматриваться как подозрительные. Отслеживайте аномальное поведение процессов, которое может быть связано с загрузкой вредоносной DLL. Рекомендуется рассматривать события с данными не обособленно, а как элементы цепочки, за которыми могут последовать те или иные дальнейшие действия злоумышленников, например подключение к командному серверу, изучение окружения посредством соответствующих техник и перемещение внутри периметра.

IDDS0024Источник и компонент данныхРеестр Windows: Изменение ключа реестра WindowsОписание

Отслеживайте изменения в записях реестра, относящихся к Winlogon, не связанные с известным ПО, циклами выпуска исправлений и другой легитимной активностью. С помощью таких инструментов, как Sysinternals Autoruns, можно обнаружить изменения в системе, в том числе перечисление текущих значений вспомогательных служб Winlogon, которые могут указывать на попытки закрепления в системе .

Аналитика 1. Изменение реестра путем модификации Userinit, Shell и Notify

source="*WinEventLog:Security" EventCode="4657" (ObjectValueName="Userinit" OR ObjectValueName="Shell" OR ObjectValueName="Notify") OR source="*WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode="13" (TargetObject="*Userinit" OR TargetObject="*Shell" OR TargetObject="*Notify")

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Отслеживайте выполнение процессов, в которых могут использоваться функции Winlogon для запуска DLL-файлов и (или) исполняемых файлов в момент входа пользователя в систему.

Аналитика 1. Изменение ключа реестра Winlogon

(source="*WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode="1") OR (source="*WinEventLog:Security" EventCode="4688") | where (CommandLine LIKE "%Microsoft\Windows NT\CurrentVersion\Winlogon%" AND (CommandLine LIKE "%Userinit%" OR CommandLine LIKE "%Shell%" OR CommandLine LIKE "%Notify%")) AND (CommandLine LIKE "%reg%" OR CommandLine LIKE "%add%" OR CommandLine LIKE "%/d%" OR CommandLine LIKE "%Set-ItemProperty%" OR CommandLine LIKE "%New-ItemProperty%" CommandLine LIKE "%-value%")

Меры противодействия

IDM1038НазваниеЗащита от выполненияОписание

Используйте средства контроля приложений, такие как AppLocker, которые способны проверять и (или) блокировать неизвестные DLL, чтобы выявлять и блокировать потенциально вредоносные программы, которые могут выполняться через вспомогательный процесс Winlogon.

IDM1018НазваниеУправление учетными записямиОписание

Ограничьте привилегии пользователей таким образом, чтобы только авторизованные администраторы могли вносить изменения в работу вспомогательного инструмента Winlogon.