MaxPatrol SIEM

Выявляет инциденты ИБ, ведущие к нарушению киберустойчивости компании

T1548.002: Обход контроля учетных записей

Злоумышленники могут обходить механизмы контроля учетных записей с целью повышения уровня привилегий в системе. Контроль учетных записей в Windows (UAC) позволяет программе повысить уровень привилегий (соответствующий уровню целостности — от низкого до высокого), чтобы выполнить задачу с правами администратора, возможно запросив подтверждение у пользователя. В зависимости от настроек UAC, пользователю может быть либо запрещено выполнять такую задачу, либо предложено подтвердить ее выполнение (если он состоит в локальной группе администраторов), либо предложено ввести пароль администратора, чтобы выполнить ее.

Если уровень защиты компьютера, обеспечиваемый механизмом контроля учетных записей, ниже максимального, некоторые программы Windows могут повысить уровень привилегий или выполнить некоторые объекты COM-модели с расширенными правами, не отправляя пользователю запрос через окно уведомлений UAC. Примером такого поведения является использование Rundll32 для загрузки специально созданной DLL-библиотеки, которая загружает объект COM-модели с повышенными правами и выполняет операцию с файлом в защищенном каталоге, для чего обычно требуются расширенные права доступа. Злоумышленники могут внедрять вредоносное ПО в доверенный процесс для повышения уровня привилегий без ведома пользователя.

Для обхода UAC используется множество методов. Описание инструмента UACME на GitHub содержит внушительный, но не исчерпывающий перечень методов обхода защиты, используемых злоумышленниками. Новые методы обхода появляются регулярно, и некоторые из них используются в реальных атаках, например:

  • eventvwr.exe может запускаться со всеми правами администратора и выполнять указанный бинарный файл или сценарий.

Для обхода механизмов защиты могут также использоваться некоторые техники перемещения внутри периметра, если злоумышленникам известны данные для входа в учетную запись администратора; поскольку UAC защищает только одну систему, уровень привилегий или целостности процесса, запущенного на одной системе, будет неизвестен удаленным системам и по умолчанию будет установлен высоким.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_privilege_escalation: PT-CR-843: AutoElevate_UAC_Bypass: Запущен дочерний процесс утилиты AutoElevate для обхода контроля учетных записей (UAC). UAC позволяет программе повышать привилегии для выполнения задачи с разрешениями уровня администратора, возможно, запрашивая у пользователя подтверждение
mitre_attck_privilege_escalation: PT-CR-844: DelegateExecute_UAC_Bypass: Пользователь повысил привилегии с помощью одной из системных утилит, в манифесте которых прописано поднятие привилегий без запроса контроля учетных записей пользователей (UAC) (элемент "autoElevate"). Чтобы получить токен локального администратора с повышенными привилегиями (Integrity Level: High), злоумышленники создают в реестре ключ "DelegateExecute" и записывают полезную нагрузку в ту же ветку, в ключ "(Default)". После этого они запускают системную утилиту, которая обращается к этому ключу и всегда выполняется с повышенными привилегиями, что позволяет запустить ранее записанную полезную нагрузку с максимальными привилегиями. Чаще всего для этих целей используются системные утилиты fodhelper.exe и ComputerDefaults.exe
mitre_attck_privilege_escalation: PT-CR-854: RPC_Abuse_UAC_Bypass: Выполнен обход UAC с помощью уязвимости в RPC
mitre_attck_privilege_escalation: PT-CR-856: Subrule_AutoElevate_Process_Run: Запущен процесс, для которого выставлен флаг AutoElevate
mitre_attck_privilege_escalation: PT-CR-858: Subrule_Full_Elevation_Token_Steal: Использован токен High Integrity другого процесса
hacking_tools: PT-CR-753: Cobalt_Strike_RunAs_Escalate: Обнаружено выполнение команды RunAS с помощью Cobalt Strike для повышения привилегий
mitre_attck_privilege_escalation: PT-CR-1853: Byeintegrity_UAC_Bypass: Запуск процесса с повышенными привилегиями в обход UAC через оснастку MMC WF
mitre_attck_privilege_escalation: PT-CR-1910: Subrule_AutoElevate_Process_Parent_Run: Через процесс-посредник запущен процесс, для которого выставлен флаг AutoElevate
mitre_attck_privilege_escalation: PT-CR-1931: ICMLuaUtil_UAC_Bypass: Запуск процесса с повышенными привилегиями в обход UAC через COM-интерфейс ICMLuaUtil
active_directory_attacks: PT-CR-838: ShadowCred_Used: Атрибут msds-keycredentiallink использован для авторизации учетной записи компьютера в домене без использования пароля. Это может быть признаком использования KrbRelayUp для локального повышения привилегий с помощью Shadow Credentials. Злоумышленник может использовать эту технику для получения учетных данных других пользователей и горизонтального перемещения на другие узлы инфраструктуры

Способы обнаружения

IDDS0009Источник и компонент данныхПроцесс: Метаданные процессаОписание

Monitor contextual data about a running process, which may include information such as environment variables, image name, user/owner that may bypass UAC mechanisms to elevate process privileges on system.

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Monitor newly executed processes, such as eventvwr.exe and sdclt.exe, that may bypass UAC mechanisms to elevate process privileges on system.

Threat actors often, after compromising a machine, try to disable User Access Control (UAC) to escalate privileges. This is often done by changing the registry key for system policies using “reg.exe”, a legitimate tool provided by Microsoft for modifying the registry via command prompt or scripts. This action interferes with UAC and may enable a threat actor to escalate privileges on the compromised system, thereby allowing further exploitation of the system.

Analytic 1 - UAC Bypass

(source="WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode="1") OR (source="WinEventLog:Security" EventCode="4688") IntegrityLevel=High|search (ParentCommandLine=""c:\windows\system32\dism.exe""".xml" AND Image!="c:\users\\appdata\local\temp\\dismhost.exe") OR ParentImage=c:\windows\system32\fodhelper.exe OR (CommandLine=""c:\windows\system32\wusa.exe"/quiet" AND User!=NOT_TRANSLATED AND CurrentDirectory=c:\windows\system32\ AND ParentImage!=c:\windows\explorer.exe) OR CommandLine="*.exe"cleanmgr.exe /autoclean" OR (ParentImage="c:\windows\*dccw.exe" AND Image!="c:\windows\system32\cttune.exe") OR Image="c:\program files\windows media player\osk.exe" OR ParentImage="c:\windows\system32\slui.exe"|eval PossibleTechniques=case(like(lower(ParentCommandLine),"%c:\windows\system32\dism.exe%"), "UACME #23", like(lower(Image),"c:\program files\windows media player\osk.exe"), "UACME #32", like(lower(ParentImage),"c:\windows\system32\fodhelper.exe"), "UACME #33", like(lower(CommandLine),"%.exe"%cleanmgr.exe /autoclean%"), "UACME #34", like(lower(Image),"c:\windows\system32\wusa.exe"), "UACME #36", like(lower(ParentImage),"c:\windows\%dccw.exe"), "UACME #37", like(lower(ParentImage),"c:\windows\system32\slui.exe"), "UACME #45")

Analytic 2 - Disable UAC

(source="WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode="1") OR (source="WinEventLog:Security" EventCode="4688") ParentImage="C:\Windows\System32\cmd.exe" CommandLine="reg.exeHKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\SystemREG_DWORD /d 0*""

IDDS0024Источник и компонент данныхРеестр Windows: Изменение ключа реестра WindowsОписание

Some UAC bypass methods rely on modifying specific, user-accessible Registry settings. For example:

  • The eventvwr.exe bypass uses the [HKEY_CURRENT_USER]\Software\Classes\mscfile\shell\open\command Registry key.
  • The sdclt.exe bypass uses the [HKEY_CURRENT_USER]\Software\Microsoft\Windows\CurrentVersion\App Paths\control.exe and [HKEY_CURRENT_USER]\Software\Classes\exefile\shell\runas\command\isolatedCommand Registry keys. Analysts should monitor these Registry settings for unauthorized changes.

UAC Bypass is an interesting technique in that new implementations are regularly found and existing implementations may be fixed (i.e., patched) by Microsoft in new builds of Windows. Therefore, it is important to validate than detections for UAC Bypass are still relevant (i.e., they target non-patched implementations).

Note: Sysmon Event ID 12 (Registry Key Create/Delete), Sysmon Event ID 13 (Registry Value Set), and Sysmon Event ID 14 (Registry Key and Value Rename) are useful for creating detections around Registry Key Modification in the context of UAC Bypass.

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Monitor executed commands and arguments that may bypass UAC mechanisms to elevate process privileges on system.

Меры противодействия

IDM1051НазваниеОбновление ПООписание

Consider updating Windows to the latest version and patch level to utilize the latest protective measures against UAC bypass.

IDM1047НазваниеАудитОписание

Check for common UAC bypass weaknesses on Windows systems to be aware of the risk posture and address issues where appropriate.

IDM1052НазваниеКонтроль учетных записейОписание

Although UAC bypass techniques exist, it is still prudent to use the highest enforcement level for UAC when possible and mitigate bypass opportunities that exist with techniques such as DLL Search Order Hijacking.

IDM1026НазваниеУправление привилегированными учетными записямиОписание

Remove users from the local administrator group on systems.