ATT&CK-CN V1.0 Last Update: 2019-03 [返回索引页]

译者: 林妙倩(清华大学网络研究院网络空间安全实习生) 原创翻译作品,如果需要转载请取得翻译作者同意。

数据来源:ATT&CK Matrices

原文: https://attack.mitre.org/techniques/T1013

术语表: /attack/glossary

端口监视器

可以通过 API 调用设置端口监视器, 以设置要在启动时加载的 DLL。 此 DLL 可以位于 C:\Windows\System32,并且在启动时被打印机,spoolsv.exe 被加载。spoolsv.exe 进程也在 SYSTEM 级别权限下运行。 或者,如果权限允许为该 DLL 写入完整的路径名到HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors​​,则可以加载任意 DLL。注册表项包含以下条目:1. 本地端口 2. 标准 TCP / IP 端口 3. USB 监视器 WSD 端口

攻击者可以使用此技术在启动时加载恶意代码,这些代码将在系统重新启动时持续存在并以 SYSTEM 级别权限执行。

缓解

利用能够监控以 SYSTEM 权限运行的进程的 DLL 加载情况的白名单 工具,识别并拦截可能以这种方式持久存在的潜在恶意软件。

  • 监视进程 API 调用。
  • 监视 spoolsv.exe 为异常 DLL 加载的 DLL。
  • 写入 System32 目录且与已知的良好软件或补丁无关的新 DLL 可能是可疑的。
  • 监视注册表中HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors的更改。
  • 运行 Autorun,它将作为持久性机制检查注册表项 。