T1547.010: Мониторы портов
Чтобы закрепиться в системе или повысить свои привилегии, злоумышленники могут использовать мониторы портов для выполнения вредоносных DLL-файлов во время загрузки системы. Монитор порта можно установить путем вызова API AddMonitor
, указав DLL-файл, который должен загружаться при запуске системы. Этот DLL-файл может быть расположен в каталоге C:\Windows\System32
и будет загружен и запущен при запуске системы службой очереди печати spoolsv.exe
с правами уровня SYSTEM.
Кроме того, произвольная DLL-библиотека может быть загружена, если разрешения позволяют записать полный путь к этой DLL в значение Driver
существующего или нового подключа HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors
с произвольным именем. Изначально этот ключ реестра содержит следующие подключи:
- Local Port
- Standard TCP/IP Port
- USB Monitor
- WSD Port
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
mitre_attck_defense_evasion: PT-CR-1360: Suspicious_Registry_Value: Злоупотребление реестром Windows, что может быть признаком подготовки к атаке: закрепления, повышения привилегий, горизонтального перемещения, предотвращения обнаружения, сбора данных и другой вредоносной активности
Способы обнаружения
ID | DS0022 | Источник и компонент данных | Файл: Создание файла | Описание | Отслеживайте недавно созданные файлы, с помощью которых злоумышленники могут использовать мониторы портов для запуска вредоносной DLL-библиотеки во время запуска системы с целью закрепления в системе или повышения уровня привилегий. |
---|
ID | DS0009 | Источник и компонент данных | Процесс: Вызовы API ОС | Описание | Отслеживайте вызовы API |
---|
ID | DS0024 | Источник и компонент данных | Реестр Windows: Изменение ключа реестра Windows | Описание | Отслеживайте попытки записи в ключе реестра |
---|
ID | DS0011 | Источник и компонент данных | Модуль: Загрузка модуля | Описание | Отслеживайте загрузку аномальных DLL процессом spoolsv.exe. Новые DLL, записанные в каталог System32, которые не связаны с известным безопасным программным обеспечением или исправлениями, должны рассматриваться как подозрительные. |
---|