T1547.004: DLL-библиотеки, загружаемые с помощью Winlogon
Злоумышленники могут злоупотреблять возможностями Winlogon для запуска DLL и (или) исполняемых файлов при входе пользователя в систему. Winlogon.exe — это компонент Windows, отвечающий за действия при входе или выходе из системы, а также за обработку последовательности клавиш Ctrl-Alt-Delete, известной как secure attention sequence (SAS). Записи реестра в ключах HKLM\Software[\Wow6432Node\]\Microsoft\Windows NT\CurrentVersion\Winlogon\
и HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\
используются для управления дополнительными вспомогательными программами и функциональными возможностями, поддерживающими Winlogon.
Вредоносное изменение этих ключей реестра может привести к тому, что Winlogon загрузит и выполнит вредоносные DLL и (или) исполняемые файлы. В частности, известно, что для эксплуатации могут быть уязвимы следующие подключи :
- Winlogon\Notify — указывает DLL-библиотеки пакетов уведомлений, которые обрабатывают события Winlogon.
- Winlogon\Userinit — указывает на userinit.exe, программу инициализации пользователей, выполняемую при входе в систему.
- Winlogon\Shell — указывает на explorer.exe, оболочку системы, запускаемую при входе пользователя в систему.
Злоумышленники могут использовать эти возможности для систематического выполнения вредоносного кода и закрепления в системе.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
mitre_attck_persistence: PT-CR-267: Registry_Winlogon_Helper: Закрепление путем изменения настроек компонента Winlogon
Способы обнаружения
ID | DS0024 | Источник и компонент данных | Реестр Windows: Изменение ключа реестра Windows | Описание | Monitor for changes to Registry entries associated with Winlogon that do not correlate with known software, patch cycles, etc. Tools such as Sysinternals Autoruns may also be used to detect system changes that could be attempts at persistence, including listing current Winlogon helper values. Analytic 1 - Registry Edit with Modification of Userinit, Shell or Notify
|
---|
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Monitor executed commands and arguments that may abuse features of Winlogon to execute DLLs and/or executables when a user logs in. |
---|
ID | DS0011 | Источник и компонент данных | Модуль: Загрузка модуля | Описание | New DLLs written to System32 that do not correlate with known good software or patching may also be suspicious. Look for abnormal process behavior that may be due to a process loading a malicious DLL. Data and events should not be viewed in isolation, but as part of a chain of behavior that could lead to other activities, such as network connections made for Command and Control, learning details about the environment through Discovery, and Lateral Movement. |
---|
ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Monitor for the execution of processes that may abuse features of Winlogon to execute DLLs and/or executables when a user logs in. Analytic 1 - Modification of the Winlogon Registry Key
|
---|
Меры противодействия
ID | M1038 | Название | Защита от выполнения | Описание | Identify and block potentially malicious software that may be executed through the Winlogon helper process by using application control tools like AppLocker that are capable of auditing and/or blocking unknown DLLs. |
---|
ID | M1018 | Название | Управление учетными записями | Описание | Limit the privileges of user accounts so that only authorized administrators can perform Winlogon helper changes. |
---|