T1547.012: Обработчики печати
Злоумышленники могут использовать обработчики печати для запуска вредоносных DLL-библиотек во время загрузки системы с целью закрепления в системе и (или) повышения своих привилегий. Обработчики печати — это DLL-библиотеки, загружаемые службой очереди печати spoolsv.exe
во время запуска системы.
Злоумышленники могут эксплуатировать службу очереди печати, добавляя обработчики печати, загружающие вредоносные DLL-библиотеки при запуске системы. Обработчик печати может быть установлен путем вызова API AddPrintProcessor
из учетной записи, для которой включена привилегия SeLoadDriverPrivilege
. Кроме того, обработчик печати может быть зарегистрирован в службе очереди печати путем добавления ключа реестра HKLM\SYSTEM\[CurrentControlSet or ControlSet001]\Control\Print\Environments\[Windows architecture: e.g., Windows x64]\Print Processors\[user defined]\Driver
, указывающего на нужную DLL.
Для правильной установки вредоносного обработчика печати полезная нагрузка должна располагаться в специальном системном каталоге обработчика печати, который можно найти с помощью вызова API GetPrintProcessorDirectory
, либо ее расположение должно быть указано через относительный путь из данного каталога. Чтобы установленные обработчики печати могли работать, необходимо перезапустить службу очереди печати, запускаемую при загрузке системы.
Служба очереди печати работает с правами уровня SYSTEM, поэтому обработчики печати, установленные злоумышленником, могут работать с повышенными привилегиями.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
Мониторинг событий изменения следующих разделов реестра (идентификатор 13 в Sysmon): HKLM\SYSTEM\ControlSet001\Control\Print\Environments[Windows architecture]\Print Processors[user defined]\Driver HKLM\SYSTEM\CurrentControlSet\Control\Print\Environments[Windows architecture]\Print Processors[user defined]\Driver
Требуется эксперт. Техника обнаруживается только в связке «Продукт PT + эксперт»
Способы обнаружения
ID | DS0022 | Источник и компонент данных | Файл: Создание файла | Описание | Отслеживайте создание файлов, с помощью которых злоумышленники могут использовать обработчики печати для запуска вредоносных DLL-библиотек во время загрузки системы с целью закрепления в системе и (или) повышения уровня привилегий. |
---|
ID | DS0009 | Источник и компонент данных | Процесс: Вызовы API ОС | Описание | Отслеживайте вызовы API |
---|
ID | DS0024 | Источник и компонент данных | Реестр Windows: Изменение ключа реестра Windows | Описание | Отслеживайте попытки записи в ключе реестра |
---|
ID | DS0027 | Источник и компонент данных | Драйвер: Загрузка драйвера | Описание | Отслеживайте необычные действия по установке драйверов ядра, с помощью которых злоумышленники могут использовать обработчики печати для запуска вредоносных DLL-библиотек во время загрузки системы с целью закрепления в системе и (или) повышения своих привилегий. |
---|
ID | DS0011 | Источник и компонент данных | Модуль: Загрузка модуля | Описание | Отслеживайте загрузку аномальных DLL процессом |
---|
Меры противодействия
ID | M1018 | Название | Управление учетными записями | Описание | Ограничьте круг пользователей, которые могут загружать или выгружать драйвера устройств, путем отключения настройки |
---|