T1548.002: Обход контроля учетных записей
Злоумышленники могут обходить механизмы контроля учетных записей с целью повышения уровня привилегий в системе. Контроль учетных записей в Windows (UAC) позволяет программе повысить уровень привилегий (соответствующий уровню целостности — от низкого до высокого), чтобы выполнить задачу с правами администратора, возможно запросив подтверждение у пользователя. В зависимости от настроек UAC, пользователю может быть либо запрещено выполнять такую задачу, либо предложено подтвердить ее выполнение (если он состоит в локальной группе администраторов), либо предложено ввести пароль администратора, чтобы выполнить ее.
Если уровень защиты компьютера, обеспечиваемый механизмом контроля учетных записей, ниже максимального, некоторые программы Windows могут повысить уровень привилегий или выполнить некоторые объекты COM-модели с расширенными правами, не отправляя пользователю запрос через окно уведомлений UAC. Примером такого поведения является использование Rundll32 для загрузки специально созданной DLL-библиотеки, которая загружает объект COM-модели с повышенными правами и выполняет операцию с файлом в защищенном каталоге, для чего обычно требуются расширенные права доступа. Злоумышленники могут внедрять вредоносное ПО в доверенный процесс для повышения уровня привилегий без ведома пользователя.
Для обхода UAC используется множество методов. Описание инструмента UACME на GitHub содержит внушительный, но не исчерпывающий перечень методов обхода защиты, используемых злоумышленниками. Новые методы обхода появляются регулярно, и некоторые из них используются в реальных атаках, например:
eventvwr.exe
может запускаться со всеми правами администратора и выполнять указанный бинарный файл или сценарий.
Для обхода механизмов защиты могут также использоваться некоторые техники перемещения внутри периметра, если злоумышленникам известны данные для входа в учетную запись администратора; поскольку UAC защищает только одну систему, уровень привилегий или целостности процесса, запущенного на одной системе, будет неизвестен удаленным системам и по умолчанию будет установлен высоким.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
mitre_attck_privilege_escalation: PT-CR-843: AutoElevate_UAC_Bypass: Запущен дочерний процесс утилиты AutoElevate для обхода контроля учетных записей (UAC). UAC позволяет программе повышать привилегии для выполнения задачи с разрешениями уровня администратора, возможно, запрашивая у пользователя подтверждение
mitre_attck_privilege_escalation: PT-CR-844: DelegateExecute_UAC_Bypass: Пользователь повысил привилегии с помощью одной из системных утилит, в манифесте которых прописано поднятие привилегий без запроса контроля учетных записей пользователей (UAC) (элемент "autoElevate"). Чтобы получить токен локального администратора с повышенными привилегиями (Integrity Level: High), злоумышленники создают в реестре ключ "DelegateExecute" и записывают полезную нагрузку в ту же ветку, в ключ "(Default)". После этого они запускают системную утилиту, которая обращается к этому ключу и всегда выполняется с повышенными привилегиями, что позволяет запустить ранее записанную полезную нагрузку с максимальными привилегиями. Чаще всего для этих целей используются системные утилиты fodhelper.exe и ComputerDefaults.exe
mitre_attck_privilege_escalation: PT-CR-854: RPC_Abuse_UAC_Bypass: Выполнен обход UAC с помощью уязвимости в RPC
mitre_attck_privilege_escalation: PT-CR-856: Subrule_AutoElevate_Process_Run: Запущен процесс, для которого выставлен флаг AutoElevate
mitre_attck_privilege_escalation: PT-CR-858: Subrule_Full_Elevation_Token_Steal: Использован токен High Integrity другого процесса
hacking_tools: PT-CR-753: Cobalt_Strike_RunAs_Escalate: Обнаружено выполнение команды RunAS с помощью Cobalt Strike для повышения привилегий
mitre_attck_privilege_escalation: PT-CR-1853: Byeintegrity_UAC_Bypass: Запуск процесса с повышенными привилегиями в обход UAC через оснастку MMC WF
mitre_attck_privilege_escalation: PT-CR-1910: Subrule_AutoElevate_Process_Parent_Run: Через процесс-посредник запущен процесс, для которого выставлен флаг AutoElevate
mitre_attck_privilege_escalation: PT-CR-1931: ICMLuaUtil_UAC_Bypass: Запуск процесса с повышенными привилегиями в обход UAC через COM-интерфейс ICMLuaUtil
active_directory_attacks: PT-CR-838: ShadowCred_Used: Атрибут msds-keycredentiallink использован для авторизации учетной записи компьютера в домене без использования пароля. Это может быть признаком использования KrbRelayUp для локального повышения привилегий с помощью Shadow Credentials. Злоумышленник может использовать эту технику для получения учетных данных других пользователей и горизонтального перемещения на другие узлы инфраструктуры
Способы обнаружения
ID | DS0009 | Источник и компонент данных | Процесс: Метаданные процесса | Описание | Monitor contextual data about a running process, which may include information such as environment variables, image name, user/owner that may bypass UAC mechanisms to elevate process privileges on system. |
---|
ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Monitor newly executed processes, such as Threat actors often, after compromising a machine, try to disable User Access Control (UAC) to escalate privileges. This is often done by changing the registry key for system policies using “reg.exe”, a legitimate tool provided by Microsoft for modifying the registry via command prompt or scripts. This action interferes with UAC and may enable a threat actor to escalate privileges on the compromised system, thereby allowing further exploitation of the system. Analytic 1 - UAC Bypass
Analytic 2 - Disable UAC
|
---|
ID | DS0024 | Источник и компонент данных | Реестр Windows: Изменение ключа реестра Windows | Описание | Some UAC bypass methods rely on modifying specific, user-accessible Registry settings. For example:
UAC Bypass is an interesting technique in that new implementations are regularly found and existing implementations may be fixed (i.e., patched) by Microsoft in new builds of Windows. Therefore, it is important to validate than detections for UAC Bypass are still relevant (i.e., they target non-patched implementations). Note: Sysmon Event ID 12 (Registry Key Create/Delete), Sysmon Event ID 13 (Registry Value Set), and Sysmon Event ID 14 (Registry Key and Value Rename) are useful for creating detections around Registry Key Modification in the context of UAC Bypass. |
---|
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Monitor executed commands and arguments that may bypass UAC mechanisms to elevate process privileges on system. |
---|
Меры противодействия
ID | M1051 | Название | Обновление ПО | Описание | Consider updating Windows to the latest version and patch level to utilize the latest protective measures against UAC bypass. |
---|
ID | M1047 | Название | Аудит | Описание | Check for common UAC bypass weaknesses on Windows systems to be aware of the risk posture and address issues where appropriate. |
---|
ID | M1052 | Название | Контроль учетных записей | Описание | Although UAC bypass techniques exist, it is still prudent to use the highest enforcement level for UAC when possible and mitigate bypass opportunities that exist with techniques such as DLL Search Order Hijacking. |
---|
ID | M1026 | Название | Управление привилегированными учетными записями | Описание | Remove users from the local administrator group on systems. |
---|