ATT&CK-CN V1.01 Last Update: 2019-11 [返回索引页]

译者: 林妙倩(清华大学网络研究院网络空间安全实习生)、戴亦仑(赛宁网安) 原创翻译作品,如果需要转载请取得翻译作者同意。

数据来源:ATT&CK Matrices

原文: https://attack.mitre.org/techniques/T1209

术语表: /attack/glossary

时间提供程序

Windows Time 服务 (W32Time) 支持跨域和域内的时间同步。 W32Time 时间提供程序负责从硬件/网络资源中检索时间戳,并将这些值输出到其他网络客户端。

时间提供程序实现为动态链接库 (DLL),在 HKEY_LOCAL_MACHINE32Time 的子键中注册。 由服务控制管理器控制的时间提供程序管理器,在系统启动和/或参数更改时加载和启动在此键下列出并已启用的时间提供程序。

攻击者可能会滥用此体系结构来建立持久性,特别是通过注册并启用恶意 DLL 作为时间提供程序。 注册时间提供程序需要管理员权限,不过将在本地服务帐户的上下文中执行。

缓解

使用能够审核和/或拦截未知 DLL 的白名单 工具(如 AppLocker, )识别并拦截可能作为时间提供程序执行的潜在恶意软件。 考虑使用组策略来配置和阻止后续对 W32Time 参数的修改。

检测

为值设置基准并监视/分析与修改注册表中的 W32Time 信息相关的活动,包括应用程序编程接口 (API) 调用,如 RegCreateKeyEx 和 RegSetValueEx,以及 W32tm.exe 的执行。 注册的自定义时间提供程序数量没有限制,但每个可能都需要将 DLL payload 写入磁盘。

Sysinternals Autoruns 工具还可以用于分析自启动位置,包括列出为时间提供程序的 DLL。