T1547.004: DLL-библиотеки, загружаемые с помощью Winlogon
Злоумышленники могут злоупотреблять возможностями Winlogon для запуска DLL и (или) исполняемых файлов при входе пользователя в систему. Winlogon.exe — это компонент Windows, отвечающий за действия при входе или выходе из системы, а также за обработку последовательности клавиш Ctrl-Alt-Delete, известной как secure attention sequence (SAS). Записи реестра в ключах HKLM\Software[\Wow6432Node\]\Microsoft\Windows NT\CurrentVersion\Winlogon</code> и
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon</code> используются для управления дополнительными вспомогательными программами и функциональными возможностями, поддерживающими Winlogon.
Вредоносное изменение этих ключей реестра может привести к тому, что Winlogon загрузит и выполнит вредоносные DLL и (или) исполняемые файлы. В частности, известно, что для эксплуатации могут быть уязвимы следующие подключи :
- Winlogon\Notify — указывает DLL-библиотеки пакетов уведомлений, которые обрабатывают события Winlogon.
- Winlogon\Userinit — указывает на userinit.exe, программу инициализации пользователей, выполняемую при входе в систему.
- Winlogon\Shell — указывает на explorer.exe, оболочку системы, запускаемую при входе пользователя в систему.
Злоумышленники могут использовать эти возможности для систематического выполнения вредоносного кода и закрепления в системе.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
mitre_attck_persistence: PT-CR-267: Registry_Winlogon_Helper: Закрепление путем изменения настроек компонента Winlogon
Способы обнаружения
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Отслеживайте выполнение команд с аргументами, которые могут использоваться для запуска DLL и (или) исполняемых файлов с помощью Winlogon при входе пользователя в систему. |
---|
ID | DS0011 | Источник и компонент данных | Модуль: Загрузка модуля | Описание | Новые DLL, записанные в каталог System32, которые не связаны с известным безопасным программным обеспечением или исправлениями, должны рассматриваться как подозрительные. Отслеживайте аномальное поведение процессов, которое может быть связано с загрузкой вредоносной DLL. Рекомендуется рассматривать события с данными не обособленно, а как элементы цепочки, за которыми могут последовать те или иные дальнейшие действия злоумышленников, например подключение к командному серверу, изучение окружения посредством соответствующих техник и перемещение внутри периметра. |
---|
ID | DS0024 | Источник и компонент данных | Реестр Windows: Изменение ключа реестра Windows | Описание | Отслеживайте изменения в записях реестра, относящихся к Winlogon, не связанные с известным ПО, циклами выпуска исправлений и другой легитимной активностью. С помощью таких инструментов, как Sysinternals Autoruns, можно обнаружить изменения в системе, в том числе перечисление текущих значений вспомогательных служб Winlogon, которые могут указывать на попытки закрепления в системе . Аналитика 1. Изменение реестра путем модификации Userinit, Shell и Notify
|
---|
ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Отслеживайте выполнение процессов, в которых могут использоваться функции Winlogon для запуска DLL-файлов и (или) исполняемых файлов в момент входа пользователя в систему. Аналитика 1. Изменение ключа реестра Winlogon
|
---|
Меры противодействия
ID | M1038 | Название | Защита от выполнения | Описание | Используйте средства контроля приложений, такие как AppLocker, которые способны проверять и (или) блокировать неизвестные DLL, чтобы выявлять и блокировать потенциально вредоносные программы, которые могут выполняться через вспомогательный процесс Winlogon. |
---|
ID | M1018 | Название | Управление учетными записями | Описание | Ограничьте привилегии пользователей таким образом, чтобы только авторизованные администраторы могли вносить изменения в работу вспомогательного инструмента Winlogon. |
---|