ATT&CK-CN V1.0 Last Update: 2019-03 [返回索引页]

译者: 林妙倩(清华大学网络研究院网络空间安全实习生) 原创翻译作品,如果需要转载请取得翻译作者同意。

数据来源:ATT&CK Matrices

原文: https://attack.mitre.org/techniques/T1191

术语表: /attack/glossary

CMSTP

Microsoft 连接管理器配置文件安装程序 (CMSTP.exe) 是用于安装连接管理器服务配置文件的命令行程序。 CMSTP.exe 接受安装信息文件 (INF) 作为参数,并安装用于远程访问连接的服务配置文件。 攻击者可以将感染恶意命令的 INF 文件传给 CMSTP.exe。 类似于 Regsvr32 /“Squiblydoo”,攻击者可能滥用 CMSTP.exe 从远程服务器加载和执行 DLL 和/或 COM scriptlet (SCT)。 该执行也可以绕过 AppLocker 和其他白名单防御。因为 CMSTP.exe 是一个合法的、Microsoft 签名应用程序。 CMSTP.exe 还可能被滥用于绕过用户帐户控制,并通过自动提升的 COM 接口执行来自恶意 INF 的任意命令。

缓解

在给定的环境中,CMSTP.exe 可能不是必需的(除非用于 VPN 连接安装)。 如果给定的系统或网络不需要 CMSTP.exe,考虑配置应用程序白名单来阻止 CMSTP.exe 执行,防止潜在的攻击者滥用。

检测

使用进程监视来检测和分析 CMSTP.exe 的执行和参数。 将 CMSTP.exe 最近调用与之前的已知良好参数和被加载的文件进行比较,以确定异常和潜在的攻击活动。 还可以使用 Sysmon 事件识别 CMSTP.exe 的潜在滥用。 检测策略可能取决于特定的攻击者程序,但可能的规则包括:

  • 检测本地/远程 payload 的加载和执行——Event 1(进程创建),其中 ParentImage 包含 CMSTP.exe 和/或 Event 3(网络连接),其中 Image 包含 CMSTP.exe,DestinationIP 是外部的。
  • 检测通过自动提升 (auto-elevated) 的 COM 接口绕过用户帐户控制-事件 10 (ProcessAccess),其中 CallTrace 包含 CMLUA.dll 和/或 Event 12 或 13 (RegistryEvent),其中 TargetObject 包含 CMMGR32.exe。 还可以监视事件,例如涉及自动提升 CMSTP COM 接口,如 CMSTPLUA(3E5FC7F9-9A51-4367-9063-A120244FBEC7)和 CMLUAUTIL(3E000D72-A845-4CD9-BD83- 80C07C3B881F)) 的进程创建 (Sysmon Event 1)