威脅之輔助功能
Title:威脅之輔助功能
0x00 簡述
@1 戰術: 持久化,提權
@2 平台: Windows
@3 用戶許可權: 管理員,系統許可權(System)
@4 威脅描述: Windows 註冊表、文件監視、進程監視
0x01 描述
Windows包含可在用戶登陸之前,可以使用快捷鍵啟動的,可訪問的功能(比如你在Windows登陸屏幕時).攻擊者可以修改這些程序的啟動方式,以便在不登陸系統的情況下獲得CMDShell或後門.
Windows下有兩個常見的輔助功能程序,分別為:按5次Shift鍵,啟動C:WindowsSystem32sethc.exe和 Windows + U鍵盤,啟動C:WindowsSystem32utilman.exe.
sethc.exe程序通常被稱為"粘滯鍵",並且被攻擊者用來實現,通過遠程桌面登陸且進行未授權的訪問.
隨著Windows系統版本的更新,安全性也隨之增強,攻擊者會以不同的方式利用這些功能. 在一些較高版本的Windows中,替換的二進位文件需要對X64系統進行數字簽名,二進位文件必須駐留在%systemdir%中,並且必須由Windows文檔或資源保護(WFP/WRP)進行保護.調試器方法可能是一種潛在的變通方法,因為它不需要替換相應的輔助功能的二進位程序.
兩種方法的示例:
對於WinXP至Win2k3以及它們相應的高級版本中,簡單的二進位文件替換即可,比如:C:WindowsSystem32utilman.exe可以用"cmd.exe"替換(或其他提供後門訪問),當遠程桌面連接時,在登陸屏幕上按適當的快捷鍵就可以導致系統許可權的Shell執行.
對於Windows Vista 上的調試器方法以及 Windows Server 2008和更高的版本,則可以通過修改註冊表項,配置"cmd.exe"或其他後門訪問的程序,作為輔助功能程序的"debugger"(例如"utilman.exe").修改註冊表後,在登陸屏幕上按下相應的快捷鍵,在遠程桌面連接時,也將導致"debugger"程序以系統許可權執行.
其他可以訪問的功能也可以用類似的方式加以利用:
屏幕鍵盤:C:WindowsSystem32osk.exe
放大鏡:C:WindowsSystem32Magnify.exe
講述人:C:WindowsSystem32Narrator.exe
顯示切換器:C:WindowsSystem32DisplaySwitch.exe
應用程序切換器:C:WindowsSystem32AtBroker.exe
0x02 緩解方案
攻擊者如果使用這項威脅技術,必須與遠程桌面(RDP)結合使用.確保啟用了網路級別身份驗證,以強制遠程桌面會話在創建會話之前進行身份驗證,並顯示登陸屏幕.在默認情況下,從Windows Vista開始及以後的版本會默認啟用這項功能.
如果可以,請使用遠程桌面網關來管理網路中的RDP連接和安全配置.
使用白名單識別和組織可能由攻擊者執行的潛在惡意軟體,這些工具如 AppLocker或軟體限制策略,進行適當的配置.
0x03 檢測方法
對於已知的輔助功能,進行二進位文件的修改或者補丁周期異常路徑的更改都是可疑的,對於能夠修改註冊表以關聯密鑰的工具,命令行的調用也很可疑.應監視應用程序參數和二進位文件本身,監視HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options中的註冊表項.
TAG:河南CISP |