T1547.012: Обработчики печати

Злоумышленники могут использовать обработчики печати для запуска вредоносных DLL-библиотек во время загрузки системы с целью закрепления в системе и (или) повышения своих привилегий. Обработчики печати — это DLL-библиотеки, загружаемые службой очереди печати spoolsv.exe во время запуска системы.

Злоумышленники могут эксплуатировать службу очереди печати, добавляя обработчики печати, загружающие вредоносные DLL-библиотеки при запуске системы. Обработчик печати может быть установлен путем вызова API AddPrintProcessor из учетной записи, для которой включена привилегия SeLoadDriverPrivilege. Кроме того, обработчик печати может быть зарегистрирован в службе очереди печати путем добавления ключа реестра HKLM\SYSTEM\[CurrentControlSet or ControlSet001]\Control\Print\Environments\[Windows architecture: e.g., Windows x64]\Print Processors\[user defined]\Driver, указывающего на нужную DLL.

Для правильной установки вредоносного обработчика печати полезная нагрузка должна располагаться в специальном системном каталоге обработчика печати, который можно найти с помощью вызова API GetPrintProcessorDirectory, либо ее расположение должно быть указано через относительный путь из данного каталога. Чтобы установленные обработчики печати могли работать, необходимо перезапустить службу очереди печати, запускаемую при загрузке системы.

Служба очереди печати работает с правами уровня SYSTEM, поэтому обработчики печати, установленные злоумышленником, могут работать с повышенными привилегиями.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

Мониторинг событий изменения следующих разделов реестра (идентификатор 13 в Sysmon): HKLM\SYSTEM\ControlSet001\Control\Print\Environments[Windows architecture]\Print Processors[user defined]\Driver HKLM\SYSTEM\CurrentControlSet\Control\Print\Environments[Windows architecture]\Print Processors[user defined]\Driver

Требуется эксперт. Техника обнаруживается только в связке «Продукт PT + эксперт»

Способы обнаружения

IDDS0022Источник и компонент данныхФайл: Создание файлаОписание

Отслеживайте создание файлов, с помощью которых злоумышленники могут использовать обработчики печати для запуска вредоносных DLL-библиотек во время загрузки системы с целью закрепления в системе и (или) повышения уровня привилегий.

IDDS0009Источник и компонент данныхПроцесс: Вызовы API ОСОписание

Отслеживайте вызовы API AddPrintProcessor и GetPrintProcessorDirectory.

IDDS0024Источник и компонент данныхРеестр Windows: Изменение ключа реестра WindowsОписание

Отслеживайте попытки записи в ключе реестра HKLM\SYSTEM\ControlSet001\Control\Print\Environments\[архитектура Windows]\Print Processors\[пользовательские значения]\Driver или HKLM\SYSTEM\CurrentControlSet\Control\Print\Environments\[архитектура Windows]\Print Processors\[пользовательские значения]\Driver, они связаны с установкой обработчика печати.

IDDS0027Источник и компонент данныхДрайвер: Загрузка драйвераОписание

Отслеживайте необычные действия по установке драйверов ядра, с помощью которых злоумышленники могут использовать обработчики печати для запуска вредоносных DLL-библиотек во время загрузки системы с целью закрепления в системе и (или) повышения своих привилегий.

IDDS0011Источник и компонент данныхМодуль: Загрузка модуляОписание

Отслеживайте загрузку аномальных DLL процессом spoolsv.exe. Обработчики заданий печати, которые не связаны с известным безопасным программным обеспечением или исправлениями, должны рассматриваться как подозрительные. Новые DLL обработчиков заданий печати записываются в каталог обработчика заданий печати.

Меры противодействия

IDM1018НазваниеУправление учетными записямиОписание

Ограничьте круг пользователей, которые могут загружать или выгружать драйвера устройств, путем отключения настройки SeLoadDriverPrivilege.