ATT&CK-CN V1.0 Last Update: 2019-03 [返回索引页]

译者: 林妙倩(清华大学网络研究院网络空间安全实习生) 原创翻译作品,如果需要转载请取得翻译作者同意。

数据来源:ATT&CK Matrices

原文: https://attack.mitre.org/techniques/T1004

术语表: /attack/glossary

Winlogon Helper DLL

Winlogon.exe 是一个 Windows 组件,负责登录/注销时的操作以及 Ctrl-Alt-Delete 触发的安全注意序列(SAS)。在 HKLM\Software[Wow6432Node]Microsoft\Windows NT\CurrentVersion\Winlogon\HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\ 的注册表项用于管理支持 Winlogon 的其他帮助程序和功能。 [1]

对这些注册表项的恶意修改可能导致 Winlogon 加载和执行恶意 DLL 和/或可执行文件。确切说,已知以下子项可能容易被滥用: [1]

  • Winlogon \ Notify - 指向处理 Winlogon 事件的通知包 DLL
  • Winlogon \ Userinit - 指向 userinit.exe,即用户登录时执行的用户初始化程序
  • Winlogon \ Shell - 指向 explorer.exe,即用户登录时执行的系统 shell 攻击者可以利用这些特性重复执行恶意代码并持久化 。

缓解

限制用户帐户的权限,只有授权的管理员才能更改 Winlogon 帮助程序。

使用能够审核和/或拦截未知 DLL 的白名单 [5] 工具(如 AppLocker) [6] [7] ,识别并拦截可能通过 Winlogon 帮助程序进程执行的潜在恶意软件。

检测

监视与 Winlogon 关联的且与已知软件, 补丁周期等无关的注册表项的更改。Sysinternals Autoruns 等工具也可用于检测可能尝试持久化的系统更改,包括列出当前的 Winlogon 帮助程序值。 [8] 写入 System32 的且与已知的良性软件或补丁无关的新 DLL 也可能是可疑的。

查找可能由加载恶意 DLL 的进程导致的异常进程行为。不应孤立地看待数据和事件,而应将其视为可能导致其他活动的行为链的一部分,例如为命令与控制创建的网络连接,通过披露技术(Discovery)来了解有关环境的详细信息以及横向移动(Lateral Movement)。