T1547.010: Мониторы портов

Чтобы закрепиться в системе или повысить свои привилегии, злоумышленники могут использовать мониторы портов для выполнения вредоносных DLL-файлов во время загрузки системы. Монитор порта можно установить путем вызова API AddMonitor, указав DLL-файл, который должен загружаться при запуске системы. Этот DLL-файл может быть расположен в каталоге C:\Windows\System32 и будет загружен и запущен при запуске системы службой очереди печати spoolsv.exe с правами уровня SYSTEM.

Кроме того, произвольная DLL-библиотека может быть загружена, если разрешения позволяют записать полный путь к этой DLL в значение Driver существующего или нового подключа HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors с произвольным именем. Изначально этот ключ реестра содержит следующие подключи:

  • Local Port
  • Standard TCP/IP Port
  • USB Monitor
  • WSD Port

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_defense_evasion: PT-CR-1360: Suspicious_Registry_Value: Злоупотребление реестром Windows, что может быть признаком подготовки к атаке: закрепления, повышения привилегий, горизонтального перемещения, предотвращения обнаружения, сбора данных и другой вредоносной активности

Способы обнаружения

IDDS0022Источник и компонент данныхФайл: Создание файлаОписание

Отслеживайте недавно созданные файлы, с помощью которых злоумышленники могут использовать мониторы портов для запуска вредоносной DLL-библиотеки во время запуска системы с целью закрепления в системе или повышения уровня привилегий.

IDDS0009Источник и компонент данныхПроцесс: Вызовы API ОСОписание

Отслеживайте вызовы API AddMonitor.

IDDS0024Источник и компонент данныхРеестр Windows: Изменение ключа реестра WindowsОписание

Отслеживайте попытки записи в ключе реестра HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors. Запустите утилиту Autoruns, которая проверяет этот ключ реестра на предмет наличия механизмов закрепления в системе

IDDS0011Источник и компонент данныхМодуль: Загрузка модуляОписание

Отслеживайте загрузку аномальных DLL процессом spoolsv.exe. Новые DLL, записанные в каталог System32, которые не связаны с известным безопасным программным обеспечением или исправлениями, должны рассматриваться как подозрительные.