ATT&CK-CN V1.01 Last Update: 2019-11 [返回索引页]

译者: 林妙倩(清华大学网络研究院网络空间安全实习生)、戴亦仑(赛宁网安) 原创翻译作品,如果需要转载请取得翻译作者同意。

数据来源:ATT&CK Matrices

原文: https://attack.mitre.org/techniques/T1180

术语表: /attack/glossary

Screensaver

屏幕保护程序 (Screensaver) 是在所配置的用户不活动时间后执行的程序,由扩展名为。scr 的可移植可执行 (PE) 文件组成。 Windows 屏幕保护程序 scrnsave.exe 以及基本 Windows 安装中包含的屏幕保护程序位于 C:\Windows\System32\。 以下屏幕保护程序设置存储在注册表内 (HKCU\Control Panel\Desktop\),可以通过操作来实现持久化。 - SCRNSAVE.exe 设置为恶意 PE 路径 - ScreenSaveActive—设置为“1”以启用屏幕保护程序 - ScreenSaverIsSecure -设置为“0”不需要密码解锁 - ScreenSaverTimeout——设置执行屏幕保护程序用户不活动的超时时间。 攻击者可以使用屏幕保护程序设置来保持持久性,方法是在用户不活动的特定时间段后设置屏保运行恶意软件。

缓解

阻止从非标准位置执行 .scr 文件。 设置组策略以强制用户使用专用屏幕保护程序,其中本地更改不应覆盖设置以防止更改。 使用组策略禁用不必要的屏幕保护程序。

检测

监视 .scr 文件的进程执行和命令行参数。 监视注册表中可能与典型用户行为无关的屏幕保护程序配置更改。 诸如 Sysinternals Autoruns 之类的工具可用于检测注册表中屏幕保护程序二进制路径的更改。 可疑路径和 PE 文件可能标志网络中的合法屏幕保护程序的异常,应该进行调查。