Техника на mitre.org

T1547.004: DLL-библиотеки, загружаемые с помощью Winlogon

Злоумышленники могут злоупотреблять возможностями Winlogon для запуска DLL и (или) исполняемых файлов при входе пользователя в систему. Winlogon.exe — это компонент Windows, отвечающий за действия при входе или выходе из системы, а также за обработку последовательности клавиш Ctrl-Alt-Delete, известной как secure attention sequence (SAS). Записи реестра в ключах HKLM\Software[\Wow6432Node\]\Microsoft\Windows NT\CurrentVersion\Winlogon</code> и HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon</code> используются для управления дополнительными вспомогательными программами и функциональными возможностями, поддерживающими Winlogon.


Вредоносное изменение этих ключей реестра может привести к тому, что Winlogon загрузит и выполнит вредоносные DLL и (или) исполняемые файлы. В частности, известно, что для эксплуатации могут быть уязвимы следующие подключи :

Winlogon\Notify — указывает DLL-библиотеки пакетов уведомлений, которые обрабатывают события Winlogon.
Winlogon\Userinit — указывает на userinit.exe, программу инициализации пользователей, выполняемую при входе в систему.
Winlogon\Shell — указывает на explorer.exe, оболочку системы, запускаемую при входе пользователя в систему.

Злоумышленники могут использовать эти возможности для систематического выполнения вредоносного кода и закрепления в системе.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_persistence: PT-CR-267: Registry_Winlogon_Helper: Закрепление путем изменения настроек компонента Winlogon

Способы обнаружения

ID	DS0017	Источник и компонент данных	Команда: Выполнение команд	Описание	Отслеживайте выполнение команд с аргументами, которые могут использоваться для запуска DLL и (или) исполняемых файлов с помощью Winlogon при входе пользователя в систему.

ID	DS0011	Источник и компонент данных	Модуль: Загрузка модуля	Описание	Новые DLL, записанные в каталог System32, которые не связаны с известным безопасным программным обеспечением или исправлениями, должны рассматриваться как подозрительные. Отслеживайте аномальное поведение процессов, которое может быть связано с загрузкой вредоносной DLL. Рекомендуется рассматривать события с данными не обособленно, а как элементы цепочки, за которыми могут последовать те или иные дальнейшие действия злоумышленников, например подключение к командному серверу, изучение окружения посредством соответствующих техник и перемещение внутри периметра.

ID	DS0024	Источник и компонент данных	Реестр Windows: Изменение ключа реестра Windows	Описание	Отслеживайте изменения в записях реестра, относящихся к Winlogon, не связанные с известным ПО, циклами выпуска исправлений и другой легитимной активностью. С помощью таких инструментов, как Sysinternals Autoruns, можно обнаружить изменения в системе, в том числе перечисление текущих значений вспомогательных служб Winlogon, которые могут указывать на попытки закрепления в системе . Аналитика 1. Изменение реестра путем модификации Userinit, Shell и Notify `source="WinEventLog:Security" EventCode="4657" (ObjectValueName="Userinit" OR ObjectValueName="Shell" OR ObjectValueName="Notify") OR source="WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode="13" (TargetObject="Userinit" OR TargetObject="Shell" OR TargetObject="*Notify")`

ID	DS0009	Источник и компонент данных	Процесс: Создание процесса	Описание	Отслеживайте выполнение процессов, в которых могут использоваться функции Winlogon для запуска DLL-файлов и (или) исполняемых файлов в момент входа пользователя в систему. Аналитика 1. Изменение ключа реестра Winlogon `(source="WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode="1") OR (source="WinEventLog:Security" EventCode="4688") \| where (CommandLine LIKE "%Microsoft\Windows NT\CurrentVersion\Winlogon%" AND (CommandLine LIKE "%Userinit%" OR CommandLine LIKE "%Shell%" OR CommandLine LIKE "%Notify%")) AND (CommandLine LIKE "%reg%" OR CommandLine LIKE "%add%" OR CommandLine LIKE "%/d%" OR CommandLine LIKE "%Set-ItemProperty%" OR CommandLine LIKE "%New-ItemProperty%" CommandLine LIKE "%-value%")`

ID	Источник и компонент данных	Описание
DS0017	Команда: Выполнение команд	Отслеживайте выполнение команд с аргументами, которые могут использоваться для запуска DLL и (или) исполняемых файлов с помощью Winlogon при входе пользователя в систему.
DS0011	Модуль: Загрузка модуля	Новые DLL, записанные в каталог System32, которые не связаны с известным безопасным программным обеспечением или исправлениями, должны рассматриваться как подозрительные. Отслеживайте аномальное поведение процессов, которое может быть связано с загрузкой вредоносной DLL. Рекомендуется рассматривать события с данными не обособленно, а как элементы цепочки, за которыми могут последовать те или иные дальнейшие действия злоумышленников, например подключение к командному серверу, изучение окружения посредством соответствующих техник и перемещение внутри периметра.
DS0024	Реестр Windows: Изменение ключа реестра Windows	Отслеживайте изменения в записях реестра, относящихся к Winlogon, не связанные с известным ПО, циклами выпуска исправлений и другой легитимной активностью. С помощью таких инструментов, как Sysinternals Autoruns, можно обнаружить изменения в системе, в том числе перечисление текущих значений вспомогательных служб Winlogon, которые могут указывать на попытки закрепления в системе . Аналитика 1. Изменение реестра путем модификации Userinit, Shell и Notify `source="WinEventLog:Security" EventCode="4657" (ObjectValueName="Userinit" OR ObjectValueName="Shell" OR ObjectValueName="Notify") OR source="WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode="13" (TargetObject="Userinit" OR TargetObject="Shell" OR TargetObject="*Notify")`
DS0009	Процесс: Создание процесса	Отслеживайте выполнение процессов, в которых могут использоваться функции Winlogon для запуска DLL-файлов и (или) исполняемых файлов в момент входа пользователя в систему. Аналитика 1. Изменение ключа реестра Winlogon `(source="WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode="1") OR (source="WinEventLog:Security" EventCode="4688") \| where (CommandLine LIKE "%Microsoft\Windows NT\CurrentVersion\Winlogon%" AND (CommandLine LIKE "%Userinit%" OR CommandLine LIKE "%Shell%" OR CommandLine LIKE "%Notify%")) AND (CommandLine LIKE "%reg%" OR CommandLine LIKE "%add%" OR CommandLine LIKE "%/d%" OR CommandLine LIKE "%Set-ItemProperty%" OR CommandLine LIKE "%New-ItemProperty%" CommandLine LIKE "%-value%")`

Меры противодействия

ID	M1038	Название	Защита от выполнения	Описание	Используйте средства контроля приложений, такие как AppLocker, которые способны проверять и (или) блокировать неизвестные DLL, чтобы выявлять и блокировать потенциально вредоносные программы, которые могут выполняться через вспомогательный процесс Winlogon.

ID	M1018	Название	Управление учетными записями	Описание	Ограничьте привилегии пользователей таким образом, чтобы только авторизованные администраторы могли вносить изменения в работу вспомогательного инструмента Winlogon.

ID	Название	Описание
M1038	Защита от выполнения	Используйте средства контроля приложений, такие как AppLocker, которые способны проверять и (или) блокировать неизвестные DLL, чтобы выявлять и блокировать потенциально вредоносные программы, которые могут выполняться через вспомогательный процесс Winlogon.
M1018	Управление учетными записями	Ограничьте привилегии пользователей таким образом, чтобы только авторизованные администраторы могли вносить изменения в работу вспомогательного инструмента Winlogon.