ATT&CK-CN V1.01 Last Update: 2019-11 [返回索引页]

译者: 林妙倩(清华大学网络研究院网络空间安全实习生)、戴亦仑(赛宁网安) 原创翻译作品,如果需要转载请取得翻译作者同意。

数据来源:ATT&CK Matrices

原文: https://attack.mitre.org/techniques/T1015

术语表: /attack/glossary

辅助功能

Windows 包含可在用户登录前使用组合键启动的辅助功能(例如,当用户在 Windows 登录屏幕上时)。攻击者可以修改这些程序的启动方式,以获取命令提示符或后门而无需登录系统。

两个常用的辅助功能程序,C:\Windows\System32\sethc.exe 按下五次 Shift 键启动。C:\Windows\System32\utilman.exe 按下 Windows + U 组合键启动。sethc.exe 程序通常被称为“粘性密钥”,并且已被攻击者用于通过远程桌面登录屏幕进行未经身份验证的访问。

由于代码完整性增强,攻击者可能会以不同的方式利用这些功能,具体取决于 Windows 的版本。在较新版本的 Windows 中,替换的二进制文件需要对 x64 系统进行数字签名,二进制文件必须在 %systemdir%\,并且必须受 Windows File 或 Resource Protection (WFP / WRP)保护。 debugger 很可能作为一种潜在的解决方法,因为它不需要替换相应的辅助功能二进制文件。两种方法的示例:

对于 Windows XP 及更高版本以及 Windows Server 2003 / R2 及更高版本上的简单二进制替换,例如,程序(例如 C:\Windows\System32\utilman.exe)可以替换为“cmd.exe”(或提供后门访问的其他程序)。随后,在键盘前或通过远程桌面协议连接时,在登录屏幕上按下相应的组合键,从而使替换的文件以 SYSTEM 权限执行。

对于 Windows Vista 及更高版本以及 Windows Server 2008 及更高版本的 debugger 方法,可以修改注册表项,以配置“cmd.exe”或其他提供后门访问的程序,作为辅助功能程序的“debugger”。(例如,“utilman.exe”)。修改注册表后,在键盘前或与 RDP 连接时在登录屏幕上按相应的组合键将使“debugger”程序以 SYSTEM 权限执行。

  • 屏幕键盘: C:\Windows\System32\osk.exe
  • 放大镜: C:\Windows\System32\Magnify.exe
  • 旁白: C:\Windows\System32\Narrator.exe
  • 显示切换器:C:\Windows\System32\DisplaySwitch.exe
  • App 切换器: C:\Windows\System32\AtBroker.exe

缓解

攻击者必须结合 RDP 才能远程使用这种技术。确保启用了网络级身份验证,以便在创建会话和显示登录屏幕之前强制远程桌面会话进行身份验证。默认情况下,它在 Windows Vista 和更高版本中启用。 如果可以,使用远程桌面网关来管理网络中 RDP 的连接和安全配置。 使用白名单 工具识别和拦截攻击者可能使用此技术执行的潜在恶意软件,如 AppLocker, 或合适的软件限制策略 。

检测

与已知软件、补丁周期等不相关的辅助实用程序二进制文件或二进制路径的更改是可疑的。命令行对能修改注册表相关键的工具的调用也是可疑的。应该监控实用程序参数和二进制文件本身的更改。监控HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options的注册表项。