Матрица MITRE ATT&CK

Техника на mitre.org

T1556.008: DLL поставщиков сети

Злоумышленники могут зарегистрировать вредоносные DLL-библиотеки поставщиков сети с целью получения учетных данных пользователей, введенных во время аутентификации, в открытом виде. DLL поставщиков сети обеспечивают взаимодействие Windows с отдельными сетевыми протоколами, а также могут поддерживать дополнительные функции управления учетными данными. При входе в систему модуль интерактивного входа Winlogon передает учетные данные локальному процессу mpnotify.exe через RPC. Процесс mpnotify.exe передает учетные данные в открытом виде зарегистрированным диспетчерам учетных данных, уведомляя их о событии входа.

Злоумышленники могут получать учетные данные от процесса mpnotify.exe, настроив вредоносную DLL поставщиков сети соответствующим образом. Через реестр они могут зарегистрировать вредоносную DLL-библиотеку в качестве диспетчера учетных данных, после чего она сможет получать и сохранять учетные данные, передаваемые функцией NPLogonNotify() каждый раз, когда пользователь входит в Windows на рабочей станции или в домене.

Злоумышленники могут пытаться установить вредоносные DLL поставщиков сети в системах, в которые пользователи и (или) администраторы входят чаще, чем в другие, например на серверы и контроллеры домена.

Способы обнаружения

ID	DS0024	Источник и компонент данных	Реестр Windows: Создание ключа реестра Windows	Описание	Отслеживайте добавление ключей реестра для поставщиков сети (например, `HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<ИмяПоставщикаСети>\NetworkProvider`).

ID	DS0009	Источник и компонент данных	Процесс: Вызовы API ОС	Описание	Отслеживайте необычные вызовы API `NPLogonNotify()`.

ID	DS0022	Источник и компонент данных	Файл: Создание файла	Описание	Отслеживайте недавно созданные файлы, с помощью которых злоумышленники могут встраивать вредоносные DLL-библиотеки поставщиков сети.

ID	DS0024	Источник и компонент данных	Реестр Windows: Изменение ключа реестра Windows	Описание	Отслеживайте изменения в записях реестра поставщиков сети (например, `HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\NetworkProvider\Order`), чтобы сопоставить и рассмотреть DLL-библиотеки, на которые указывают эти значения.

ID	Источник и компонент данных	Описание
DS0024	Реестр Windows: Создание ключа реестра Windows	Отслеживайте добавление ключей реестра для поставщиков сети (например, `HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<ИмяПоставщикаСети>\NetworkProvider`).
DS0009	Процесс: Вызовы API ОС	Отслеживайте необычные вызовы API `NPLogonNotify()`.
DS0022	Файл: Создание файла	Отслеживайте недавно созданные файлы, с помощью которых злоумышленники могут встраивать вредоносные DLL-библиотеки поставщиков сети.
DS0024	Реестр Windows: Изменение ключа реестра Windows	Отслеживайте изменения в записях реестра поставщиков сети (например, `HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\NetworkProvider\Order`), чтобы сопоставить и рассмотреть DLL-библиотеки, на которые указывают эти значения.

Меры противодействия

ID	M1024	Название	Ограничение прав доступа к реестру	Описание	Ограничьте права доступа к реестру, чтобы запретить изменение важных ключей реестра, таких как `HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\NetworkProvider\Order`.

ID	M1047	Название	Аудит	Описание	Периодически проверяйте наличие новых и неизвестных DLL сетевого провайдера в реестре (`HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<NetworkProviderName>\NetworkProvider\ProviderPath`). Проследите, чтобы были зарегистрированы только действительные DLL сетевого провайдера. Их названия можно найти в ключе реестра `HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\NetworkProvider\Order`, а соответствующие служебные подключи, указывающие на DLL, находятся по путям вида `HKEY_LOCAL_MACHINE\SYSTEM\CurrentC ontrolSet\Services\<NetworkProviderName>\NetworkProvider`.

ID	M1028	Название	Изменение конфигурации ОС	Описание	Начиная с Windows 11 22H2, политика `EnableMPRNotifications` может быть отключена с помощью групповой политики или через поставщика услуг конфигурации, чтобы Winlogon не отправлял учетные данные сетевым провайдерам.

ID	Название	Описание
M1024	Ограничение прав доступа к реестру	Ограничьте права доступа к реестру, чтобы запретить изменение важных ключей реестра, таких как `HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\NetworkProvider\Order`.
M1047	Аудит	Периодически проверяйте наличие новых и неизвестных DLL сетевого провайдера в реестре (`HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<NetworkProviderName>\NetworkProvider\ProviderPath`). Проследите, чтобы были зарегистрированы только действительные DLL сетевого провайдера. Их названия можно найти в ключе реестра `HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\NetworkProvider\Order`, а соответствующие служебные подключи, указывающие на DLL, находятся по путям вида `HKEY_LOCAL_MACHINE\SYSTEM\CurrentC ontrolSet\Services\<NetworkProviderName>\NetworkProvider`.
M1028	Изменение конфигурации ОС	Начиная с Windows 11 22H2, политика `EnableMPRNotifications` может быть отключена с помощью групповой политики или через поставщика услуг конфигурации, чтобы Winlogon не отправлял учетные данные сетевым провайдерам.