ATT&CK-CN V1.0 Last Update: 2019-03 [返回索引页]

译者: 林妙倩(清华大学网络研究院网络空间安全实习生) 原创翻译作品,如果需要转载请取得翻译作者同意。

数据来源:ATT&CK Matrices

原文: https://attack.mitre.org/techniques/T1042

术语表: /attack/glossary

更改默认文件关联

打开文件时,系统将检查用于打开文件的默认程序(也称为文件关联或处理程序)文件关联选择存储在 Windows 注册表中,可以由具有注册表访问权限的用户、管理员或 程序编辑,也可以由使用内置 assoc 实用程序的管理员编辑。 应用程序可以修改给定文件扩展名的文件关联,以便在打开具有特定扩展名的文件时调用任意程序。 系统文件关联列在HKEY_CLASSES_ROOT.[extension], for example HKEY_CLASSES_ROOT.txt. 条目指向位于 HKEY_CLASSES_ROOT[handler] 的扩展处理程序。然后在 HKEY_CLASSES_ROOT[handler]\shell[action]\命令中将各种命令作为子键列在 shell 键下面。例如: HKEY_CLASSES_ROOT\txtfile\shell\open\command HKEY_CLASSES_ROOT\txtfile\shell\print\command* HKEY_CLASSES_ROOT\txtfile\shell\printto\command 列出的键值是句柄打开文件扩展名时执行的命令。攻击者可以修改这些值以持续执行任意命令。

缓解

不建议直接缓解此技术,因为它是用户可以针对软件首选项执行的合法功能。遵循 Microsoft 的文件关联最佳实践。 使用白名单 工具识别和拦截可能由此技术执行的潜在恶意软件,如 AppLocker, 或软件限制策略 。

检测

收集和分析注册表项的更改,这些更改将文件扩展名与要执行的默认应用程序相关联,并将该进程与未知进程的启动或不寻常的文件类型相关联。 用户文件关联首选项存储在[HKEY_CURRENT_USER]\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts 下,并覆盖 [HKEY_CLASSES_ROOT] 中配置的关联。用户首选项的更改将发生在该条目的子键下。 还要查找异常流程调用树,以执行可能与披露 (Discovery)操作或其他技术相关的其他命令。