Links zu allen Teilen:Teil 1. Erstzugriff erhalten (Erstzugriff)Teil 2. AusführungTeil 3. Befestigung (Persistenz)Teil 4. Eskalation von BerechtigungenTeil 5. VerteidigungshinterziehungTeil 6. Abrufen von Anmeldeinformationen (Zugriff auf Anmeldeinformationen)Teil 7. EntdeckungTeil 8. Seitliche BewegungDie Hauptaufgabe beim Sichern des Zugriffs besteht darin, eine konstante Präsenz im angegriffenen System sicherzustellen, da der Zugriff aufgrund eines Neustarts des angegriffenen Systems, des Verlusts von Anmeldeinformationen oder der Blockierung von RAS-Tools aufgrund der Erkennung eines Angriffs verloren gehen kann.
Der Autor ist nicht verantwortlich für die möglichen Folgen der Anwendung der im Artikel aufgeführten Informationen und entschuldigt sich auch für mögliche Ungenauigkeiten in einigen Formulierungen und Begriffen. Die veröffentlichten Informationen sind eine kostenlose Nacherzählung des Inhalts von MITRE ATT & CK .Methoden zur Sicherstellung der Konstanz im System können in drei Kategorien unterteilt werden:
- Unerlaubte Erstellung von Konten oder Diebstahl vorhandener Anmeldeinformationen;
- Versteckte Installation und Start von Fernzugriffstools;
- Änderungen an der Konfiguration des angegriffenen Systems vornehmen, mit deren Hilfe zahlreiche Schadcodes ausgeführt werden können. Schädlicher Code kann automatisch gestartet werden, wenn das System gestartet wird oder sich jeder Benutzer am System anmeldet, geänderte oder böswillige Dienste startet, bestimmte Programme vom Benutzer startet oder den Prozess der Aktualisierung von System- oder Drittanbieter-Software startet.
Darüber hinaus werden die von ATT & CK angebotenen Zugangssperrtechniken vorgestellt.
System: Linux, MacOS
Rechte: Benutzer, Administrator
Beschreibung: Angreifer können Code in die Dateien ~ / .bash_profile und ~ / .bashrc einbetten (
zum Erstellen einer Benutzerumgebung im Betriebssystem ), der ausgeführt wird, wenn sich der Benutzer anmeldet oder eine neue Shell startet. Die Datei ~ / .bash_profile wird ausgeführt, wenn sich der Benutzer anmeldet. ~ / .Bashrc wird ausgeführt, wenn die Shells interaktiv geöffnet werden. Wenn sich ein Benutzer mit einem Benutzernamen und einem Kennwort anmeldet (lokal oder remote, z. B. über SSH), wird ~ / .bash_profile ausgeführt, bevor die Benutzereinladung zurückgegeben wird. Danach wird jedes Mal, wenn eine neue Shell geöffnet wird, ~ / .bashrc ausgeführt.
Unter macOS unterscheidet sich Terminal.app geringfügig darin, dass es bei jedem Öffnen des Terminalfensters die Standard-Anmeldeshell startet und dabei jedes Mal ~ / .bash_profile aufruft.
Schutzempfehlungen
: Gewähren von Rechten zum Ändern der Dateien ~ / .bash_profile und ~ / .bashrc nur für autorisierte Administratoren.
System: Windows
Rechte: Administrator
Beschreibung: Eingabehilfen (Bildschirmlupe, Bildschirmtastatur usw.) können mithilfe von Tastenkombinationen gestartet werden, bevor sich ein Benutzer am System anmeldet. Ein Angreifer kann die Startdateien dieser Programme ersetzen oder die Art und Weise ändern, in der sie gestartet werden, und eine Befehlskonsole öffnen oder eine Hintertür erhalten, ohne sich anzumelden.
- C: \ Windows \ System32 \ sethc.exe - wird durch fünffaches Drücken der Umschalttaste gestartet;
- C: \ Windows \ System32 \ utilman.exe - wird durch Drücken der Kombination von Win + U gestartet.
In WinXP und späteren Versionen können sethc.exe und utilman.exe beispielsweise durch cmd.exe ersetzt werden. Wenn Sie dann die gewünschte Tastenkombination drücken, wird cmd.exe gestartet, bevor Windows mit Systemberechtigungen aufgerufen wird.
In Vista und späteren Versionen müssen Sie den Registrierungsschlüssel ändern, mit dem cmd.exe oder ein anderes Programm als Debugger konfiguriert wird, z. B. für ultiman.exe. Nach dem Bearbeiten der Registrierung und Drücken der gewünschten Tastenkombination auf dem Anmeldebildschirm oder beim Herstellen einer Verbindung zum Host über RDP wird cmd.exe mit Systemrechten ausgeführt.
Es gibt auch Windows-Programme, mit denen diese Angriffstechnik implementiert werden kann:
- C: \ Windows \ System32 \ osk.exe;
- C: \ Windows \ System32 \ Magnify.exe;
- C: \ Windows \ System32 \ Narrator.exe;
- C: \ Windows \ System32 \ DisplaySwitch.exe;
- C: \ Windows \ System32 \ AtBroker.exe.
Sicherheitsempfehlungen: Konfigurieren Sie den Start der obligatorischen Netzwerkauthentifizierung für Remotebenutzer, bevor Sie eine RDP-Sitzung erstellen und den Anmeldebildschirm anzeigen (
standardmäßig in Windows Vista und höher aktiviert ). Verwenden Sie das Remotedesktop-Gateway, um Verbindungen zu verwalten und die RDP-Sicherheit zu konfigurieren.
System: Windows
Rechte: Administrator, System
Beschreibung: Im Schlüsselwert AppCertDLLs angegebene DLLs werden in jeden Prozess geladen, der die häufig verwendeten API-Funktionen
aufruft :
CreateProcess, CreateProcessAsUser, CreateProcessWithLoginW, CreateProcessWithTokenW, WinExec . Der AppCertDLL-Schlüsselwert kann missbraucht werden, indem eine schädliche DLL geladen wird und bestimmte Prozesse ausgeführt werden. AppCertDLLs werden im folgenden Registrierungsschlüssel gespeichert:
HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Session Manager .
Schutzempfehlungen
: Verwenden Sie alle möglichen Mittel, um potenziell gefährliche Software zu blockieren und unbekannte DLLs wie AppLocker und DeviceGuard herunterzuladen.
System: Windows
Rechte: Administrator, System
Beschreibung: Im Schlüsselwert AppInit_DLLs angegebene DLLs werden in jeden Prozess geladen, den user32.dll lädt. In der Praxis ist dies fast jedes Programm.
AppInit_DLLs wird in den folgenden Registrierungsschlüsseln gespeichert:
- HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Windows;
- HKEY_LOCAL_MACHINE \ Software \ Wow6432Node \ Microsoft \ Windows NT \ CurrentVersion \ Windows.
Der AppInit_DLLs-Schlüsselwert kann missbraucht werden, um Berechtigungen zu überschreiten, indem schädliche DLLs geladen und bestimmte Prozesse gestartet werden. Die AppInit_DLLs-Funktionalität ist in Windows 8 und höher deaktiviert, wenn Secure Boot aktiviert ist.
Schutzempfehlungen: Verwenden Sie eine Betriebssystemversion, die nicht früher als Windows 8 ist, und aktivieren Sie den sicheren Start. Verwenden Sie alle möglichen Mittel, um potenziell gefährliche Software zu blockieren und unbekannte DLLs wie AppLocker und DeviceGuard herunterzuladen.
System: Windows
Rechte: Administrator
Beschreibung: Microsoft Windows Application Compatibility Infrastructure / Framework wurde erstellt, um die Kompatibilität von Programmen mit Windows-Updates und Änderungen des Betriebssystemcodes sicherzustellen. Das Kompatibilitätssystem verwendet die sogenannten Shim ("Gaskets") - Bibliotheken, die als Puffer zwischen dem Programm und dem Betriebssystem fungieren. Mithilfe des Shim-Cache ermittelt das System den Bedarf an Shim-Dichtungen (gespeichert als SDB-Datenbank). In verschiedenen SDB-Dateien werden verschiedene Verfahren zum Abfangen, Verarbeiten und anschließenden Umleiten von Anwendungscode an das Betriebssystem gespeichert. Die Liste aller vom Installationsprogramm (sdbinst.exe) installierten Shim-Dichtungen wird standardmäßig gespeichert in:
- % WINDIR% \ AppPatch \ sysmain.sdb ;
- HKLM \ Software \ Microsoft \ Windows NT \ CurrentVersion \ AppCompatFlags \ InstalledSDB .
Benutzerdefinierte Shim-Datenbanken werden gespeichert in:
- % WINDIR% \ AppPatch [64] \ Custom;
- HKLM \ Software \ Microsoft \ Windows NT \ CurrentVersion \ AppCompatFlags \ Custom .
Um den Schutz im Benutzermodus zu gewährleisten, ist die Möglichkeit zum Ändern des Betriebssystemkerns mithilfe von Shim-Gaskets ausgeschlossen, und für die Installation sind Administratorrechte erforderlich. Einige Shim-Pads können jedoch verwendet werden, um die Benutzerkontensteuerung (User Account Control, UAC), die DLL-Injection, die Deaktivierung der
Verhinderung der Datenausführung und die
Behandlung von Architekturausnahmen zu umgehen sowie Speicheradressen abzufangen. Ein Angreifer, der Shim-Gaskets verwendet, kann die Berechtigungen erhöhen, Backdoors installieren und den Betriebssystemschutz deaktivieren, z. B. Windows Defender.
Schutzempfehlungen
: Es gibt nicht viele Möglichkeiten, das Shiming von Anwendungen zu verhindern. Das Deaktivieren der Anwendungskompatibilität wird nicht empfohlen, um Probleme mit der Stabilität des Betriebssystems zu vermeiden. Microsoft hat
KB3045645 veröffentlicht , mit dem das
Flag "Auto-Elevation" in der Datei "sdbinst.exe" entfernt wird, um die Verwendung des Shim-Systems zur Umgehung der Benutzerkontensteuerung zu verhindern.
System: Windows
Rechte: Administrator
Beschreibung: Windows Authentification Pack-DLLs werden beim Systemstart vom LSA-Prozess (Local Security Authority) geladen und bieten Unterstützung für mehrere Anmeldeprozesse und mehrere Betriebssystem-Sicherheitsprotokolle. Angreifer können den LSA-Autorun-Mechanismus verwenden, indem sie im folgenden Registrierungsschlüssel einen Link zu einer Binärdatei einfügen:
HKLM \ SYSTEM \ CurrentControlSet \ Control \ Lsa \ Authentication-Pakete: [Zielbinärdatei] .
[Zielbinärdatei] wird vom System gestartet, wenn
Authentifizierungspakete heruntergeladen werden.
Schutzempfehlungen: In Windows 8.1, Windows Server 2012 R2 und späteren LSAs können Sie festlegen, dass es als geschützter Prozess (PPL) mit dem Registrierungsschlüssel funktioniert:
HKLM \ SYSTEM \ CurrentControlSet \ Control \ Lsa \ RunAsPPL = DWORD: 00000001 ,
Hierfür müssen alle von LSAs geladenen DLLs mit einem digitalen Microsoft-Zertifikat signiert sein.
System: Windows
Rechte: Benutzer, Administrator, System
Beschreibung: Der Windows Background Intelligent Transfer Service (BITS) ist ein Mechanismus zum asynchronen Übertragen von Dateien über das Component Object Model (COM) mit geringer Bandbreite. BITS wird normalerweise von Updatern, Instant Messenger und anderen Anwendungen verwendet, die es vorziehen, im Hintergrund zu arbeiten, ohne den Betrieb anderer Netzwerkanwendungen zu unterbrechen. Dateiübertragungsaufgaben werden als BITS-Aufgaben dargestellt, die eine Warteschlange mit einer oder mehreren Dateioperationen enthalten. Die Schnittstelle zum Erstellen und Verwalten von BITS-Aufgaben ist in den Tools PowerShell und BITSAdmin verfügbar. Angreifer können BITS zum Herunterladen, Starten und anschließenden Bereinigen verwenden, nachdem sie schädlichen Code ausgeführt haben. BITS-Tasks werden autonom in der BITS-Datenbank gespeichert, während das System keine neuen Dateien oder Registrierungseinträge erstellt. BITS wird häufig von der Firewall zugelassen. Mit BITS-Tasks können Sie im System Fuß fassen, indem Sie lange Tasks erstellen (standardmäßig 90 Tage) oder ein beliebiges Programm nach Abschluss einer BITS-Task oder eines BITS-Fehlers aufrufen (auch nach dem Neustart des Betriebssystems).
Schutzempfehlungen: BITS ist eine Standardfunktionalität des Betriebssystems, deren Verwendung schwer von böswilligen Aktivitäten zu unterscheiden ist. Daher sollte der Schutzvektor darauf ausgerichtet sein, den Start bösartiger Tools zu Beginn der Angriffskette zu verhindern. Durch das vollständige Deaktivieren von BITS können legitime Softwareupdates gestoppt werden. Sie können jedoch in Betracht ziehen, den Zugriff auf die BITS-Schnittstelle auf bestimmte Benutzer und Zugriffsgruppen zu beschränken, und Sie können auch die Lebensdauer von BITS-Aufgaben begrenzen, die durch Ändern der folgenden Schlüssel festgelegt wird:
- HKEY_LOCAL_MACHINE \ Software \ Policies \ Microsoft \ Windows \ BITS \ JobInactivityTimeout;
- HKEY_LOCAL_MACHINE \ Software \ Policies \ Microsoft \ Windows \ BITS \ MaxDownloadTime .
System: Linux, Windows
Rechte: Administrator, System
Beschreibung: Bootkit ist eine Art von Malware, die die Startsektoren einer Festplatte ändern kann, einschließlich Master Boot Record (MBR) und Volume Boot Record (VBR). Angreifer können Bootkit verwenden, um an Systeme unterhalb des Betriebssystems anzudocken. MBR - der Abschnitt der Eisenbahn, der unmittelbar nach Abschluss der Hardware-Initialisierung von Bios geladen wird. Ein Angreifer mit Zugriff zum Umschreiben des MBR kann den Bootloader-Code durch einen böswilligen ersetzen. VBR ist die Festplattenpartition, die vom MBR die Kontrolle über den Startvorgang erhält. In Analogie zur Option zum Umschreiben von MBR kann ein Angreifer beim Systemstart schädlichen Code ausführen.
Schutzempfehlungen: Verwenden der MBR- und VBR-Tools zur Integritätskontrolle. Verwenden von Trusted Platform Module (TPM) und Secure Boot.
System: Windows, Linux, MacOS
Rechte: Benutzer
Beschreibung: Plugins haben in der Regel alle Zugriffsrechte und Rechte, die ein Browser erhalten kann. Schädliche Plugins können installiert werden, indem bösartige Anwendungen, die als legitime Programme getarnt sind, mithilfe von Social-Engineering-Techniken, Phishing oder einem Angreifer heruntergeladen werden, der das System bereits kompromittiert hat. Schädliche Plugins können Websites im Hintergrund öffnen, Informationen stehlen, die ein Benutzer in einen Browser eingibt, einschließlich Anmeldeinformationen, um als Installationsprogramme für Remoteverwaltungs-Tools (RATs) und Korrekturen am System verwendet zu werden.
Schutzempfehlungen: Installieren Sie Plugins nur aus zuverlässigen Quellen. Steuern Sie installierte Plugins mithilfe von Gruppenrichtlinien. Verhindern Sie die Installation von Plugins durch normale Benutzer. Inventarisierung und Überwachung der installierten Plugins.
System: Windows
Rechte: Benutzer, Administrator, System
Beschreibung: Angreifer können Dateizuordnungen ändern, um beliebige Befehle auszuführen. Die Auswahl der Dateizuordnungen zu Anwendungen wird in der Windows-Registrierung gespeichert und kann von Benutzern, Administratoren und Programmen bearbeitet werden, die Zugriff auf die Registrierung haben. Anwendungen können Zuordnungen ändern, um beliebige Programme aufzurufen. Die Parameter der Systemzuordnungen werden in der Registrierung gespeichert:
HKEY_CLASSES_ROOT \. [Erweiterung] , z. B.
HKEY_CLASSES_ROOT \ .txt . Die verschiedenen Befehle sind als Unterabschnitte aufgeführt:
HKEY_CLASSES_ROOT \ [Handler] \ Shell \ [Aktion] \ [Befehl] , zum Beispiel:
- HKEY_CLASSES_ROOT \ txtfile \ shell \ open \ [Befehl];
- HKEY_CLASSES_ROOT \ txtfile \ shell \ print \ [Befehl];
- HKEY_CLASSES_ROOT \ txtfile \ shell \ printto \ [Befehl];
Dabei ist
[Befehl] der Befehl, der ausgeführt wird, wenn die Datei mit der angegebenen Erweiterung geöffnet wird.
Best Practices für die
Sicherheit: Befolgen Sie
die Empfehlungen von Microsoft für Dateizuordnungen. Verwenden Sie alle möglichen Mittel zum Blockieren potenziell gefährlicher Software wie AppLocker und DeviceGuard.
System: Windows
Rechte: System
Beschreibung: Einige Cyberkriminelle können ausgefeilte Tools verwenden, um Computerkomponenten zu kompromittieren und schädliche Firmware darauf zu installieren, die schädlichen Code außerhalb des Betriebssystems oder sogar der Hauptsystem-Firmware (Bios) ausführen. Die Technik besteht darin, Computerkomponenten zu flashen, die nicht über ein integriertes Integritätsprüfungssystem verfügen, z. B. Festplatten. Ein Gerät mit bösartiger Firmware kann trotz Ausfällen und Überschreiben der Festplatte ständigen Zugriff auf das angegriffene System bieten. Die Technik wurde entwickelt, um den Softwareschutz und die Integritätskontrolle zu überwinden.
System: Windows
Rechte: Benutzer
Beschreibung: Microsoft Component Object Model (COM) ist eine Technologie zum Erstellen von Software basierend auf interagierenden Komponenten eines Objekts, die jeweils in vielen Programmen gleichzeitig verwendet werden können. Angreifer können COM verwenden, um schädlichen Code einzufügen, der anstelle von legitimem Code ausgeführt werden kann, indem COM-Links und -Links erfasst werden. Um ein COM-Objekt abzufangen, müssen Sie den Link zu einer legitimen Systemkomponente in der Windows-Registrierung ersetzen. Ein weiterer Aufruf dieser Komponente führt schädlichen Code aus.
Schutzempfehlungen: Vorbeugende Maßnahmen zur Verhinderung dieses Angriffs werden nicht empfohlen, da COM-Objekte Teil des Betriebssystems sind und in der Systemsoftware installiert sind. Das Blockieren von Änderungen an COM-Objekten kann die Stabilität des Betriebssystems und der Software beeinträchtigen. Der Schutzvektor wird empfohlen, um schädliche und potenziell gefährliche Software zu blockieren.
System: Windows, Linux, MacOS
Rechte: Administrator
Beschreibung: Angreifer mit ausreichendem Zugriff können lokale oder Domänenkonten für die weitere Konsolidierung im System erstellen. Netzwerkbenutzerbefehle können auch zum Erstellen von Konten verwendet werden.
Sicherheitsempfehlungen: Die Verwendung der Multi-Faktor-Authentifizierung. Konfigurieren Sie Sicherheitseinstellungen auf wichtigen Servern, konfigurieren Sie Zugriffskontrollen und Firewalls. Verbieten der Verwendung eines Domänenadministratorkontos zur Ausführung täglicher Vorgänge, bei denen ein Angreifer Kontoinformationen abrufen kann. Angreifer, die Konten im System erstellt haben, können nur dann eingeschränkten Zugriff auf das Netzwerk erhalten, wenn die Zugriffsebenen ordnungsgemäß blockiert sind. Konten sind möglicherweise nur erforderlich, um den Zugriff auf ein separates System zu sichern.
System: Windows
Rechte: Benutzer, Administrator, System
Beschreibung: Die Technik besteht darin, Schwachstellen im Algorithmus auszunutzen, um von den Anwendungen die DLL-Dateien zu finden, die sie zum Arbeiten benötigen (
MSA2269637 ). Häufig ist das DLL-Suchverzeichnis das Arbeitsverzeichnis des Programms, sodass Angreifer die Quell-DLL durch eine böswillige mit demselben Dateinamen ersetzen können.
Remote-Angriffe auf DLL-Suchen können ausgeführt werden, wenn das Programm sein aktuelles Verzeichnis in einem Remote-Verzeichnis installiert, z. B. einer Netzwerkfreigabe. Außerdem können Angreifer die Methode zum Suchen und Laden von DLLs direkt ändern, indem sie .manifest- oder .local-Dateien ersetzen, die DLL-Suchparameter beschreiben. Wenn das angegriffene Programm mit einem hohen Maß an Berechtigungen arbeitet, wird die von ihm geladene schädliche DLL auch mit hohen Rechten ausgeführt. In diesem Fall kann die Technik verwendet werden, um die Berechtigungen des Benutzers für den Administrator oder das System zu erhöhen.
Schutzempfehlungen
: Verhindern Sie das Laden von Remote-DLLs (standardmäßig in Windows Server 2012+ aktiviert und mit Updates für XP + und Server 2003+ verfügbar). Aktiviert den sicheren Suchmodus für DLLs, wodurch
Suchverzeichnisse auf Verzeichnisse wie
% SYSTEMROOT% beschränkt werden, bevor eine DLL-Suche im aktuellen Anwendungsverzeichnis durchgeführt wird.
Aktivieren des sicheren DLL-Suchmodus:
Computerkonfiguration> [Richtlinien]> Administrative Vorlagen> MSS (Legacy): MSS: (SafeDllSearchMode) Aktivieren Sie den sicheren DLL-Suchmodus.Entsprechender Registrierungsschlüssel:
HKLM \ SYSTEM \ CurrentControlSet \ Control \ Session Manager \ SafeDLLSearchMode.Überlegen Sie, ob Sie ein geschütztes System prüfen möchten, um DLL-Mängel mithilfe von Tools wie PowerUP in PowerSploit zu beheben. Vergessen Sie nicht, schädliche und potenziell gefährliche Software zu blockieren und die
Empfehlungen von Microsoft zu befolgen .
System: macOS
Rechte: Benutzer
Beschreibung: Die Technik basiert auf
Schwachstellen in den Suchalgorithmen der dynamischen Dylib-Bibliothek unter MacOS und OS X.Unter dem Strich wird die von der angegriffenen Anwendung geladene Dylib ermittelt und anschließend die bösartige Version der gleichnamigen Dylib im Arbeitsverzeichnis der Anwendung abgelegt. Dadurch lädt die Anwendung dylib, das sich im Arbeitsverzeichnis des Programms befindet. In diesem Fall wird die böswillige Dylib mit den Zugriffsrechten der angegriffenen Anwendung ausgeführt. Sicherheitstipps: Verhindern Sie, dass Benutzer Dateien in Dylib-Suchverzeichnisse schreiben. Überprüfen Sie Schwachstellen mit dem Dylib Hijacking Scanner von Objective-See.System: Windows-Rechte: BenutzerBeschreibung: Angreifer können die externen Remotedienste des Unternehmens wie VPN, Citrix und WinRM verwenden, um sich im angegriffenen Netzwerk zu sichern. Der Zugriff auf Dienste kann mithilfe gültiger Konten erfolgen, die mithilfe von Techniken zur Weiterleitung von Benutzern an falsche Websites (Pharming) oder in der Phase der Kompromittierung des Netzwerks erstellt wurden.Schutzempfehlungen:Einschränken des Zugriffs auf Remotedienste mithilfe zentral verwalteter Switches mithilfe eines VPN. Verbot des direkten Fernzugriffs auf das interne Netzwerk durch Verwendung von Proxys, Gateways und Firewalls. Deaktivieren von Diensten, die remote verwendet werden können, z. B. WinRM. Die Verwendung der Zwei-Faktor-Authentifizierung. Überwachung der Aktivität der Nutzung von Remote-Diensten außerhalb der Arbeitszeit.System: Windows-Rechte: Benutzer, AdministratorBeschreibung: Die Technik besteht im Wesentlichen darin, ausführbare Dateien zu ersetzen, die automatisch von verschiedenen Prozessen gestartet werden (z. B. beim Laden des Betriebssystems oder zu einem bestimmten Zeitpunkt, wenn die Rechte an den ausführbaren Dateien falsch konfiguriert sind). Nach dem Spoofing wird die schädliche Datei mit den Prozessrechten gestartet. Wenn der Prozess also eine höhere Zugriffsebene hat, kann der Angreifer die Berechtigungen eskalieren. Bei dieser Technik können Angreifer versuchen, die Windows-Dienst-Binärdateien zu manipulieren.Eine andere Variante des Angriffs ist mit den Mängeln der Algorithmen bei der Arbeit selbstextrahierender Installateure verbunden. Während des Installationsvorgangs entpacken Installationsprogramme häufig verschiedene nützliche Dateien, einschließlich DLL und EXE, in das Verzeichnis% TEMP%. Sie legen jedoch möglicherweise nicht die entsprechenden Berechtigungen fest, um den Zugriff auf die entpackten Dateien einzuschränken, wodurch Angreifer das Spoofing von Dateien durchführen können. Erhöhen Sie daher die Berechtigungen oder umgehen Sie die Kontokontrolle Einige Installationsprogramme werden mit erweiterten Berechtigungen ausgeführt.Schutzempfehlungen:Einschränkung der Kontorechte, sodass nur Administratoren die Dienste verwalten und mit den von den Diensten verwendeten Binärdateien interagieren können. Deaktivieren Sie die Eskalationsoptionen für UAC-Berechtigungen für Standardbenutzer. UAC-Einstellungen werden im folgenden Registrierungsschlüssel gespeichert:- [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System] .
Um Anforderungen zur Eskalation von Berechtigungen automatisch abzulehnen, müssen Sie einen Schlüssel hinzufügen:- "ConsentPromptBehaviorUser" = dword: 00000000.
Um die Arbeit der Installateure zu steuern, müssen Sie einen Schlüssel hinzufügen:- "EnableInstallerDetection" = dword: 00000001 , für dessen Installation ein Kennwort erforderlich ist.
System: Windows, Linux, macOSRechte: BenutzerBeschreibung:Angreifer können die Möglichkeit nutzen, Dateien und Ordner auszublenden, um die Aufmerksamkeit der Benutzer nicht auf sich zu ziehen. Unter Windows können Benutzer Dateien mit dem Befehl attrib ausblenden. Es reicht aus, das Attribut + h <Dateiname> anzugeben, um die Datei auszublenden, oder "+ s", um die Datei als System zu markieren. Durch Hinzufügen des Parameters "/ S" wendet das Attribut-Dienstprogramm die Änderungen rekursiv an. Unter Linux / Mac können Benutzer Dateien und Ordner einfach durch Angabe eines "." Am Anfang des Dateinamens ausblenden. Danach werden Dateien und Ordner in der Finder-Anwendung und beispielsweise im Dienstprogramm "ls" ausgeblendet. Unter macOS können Dateien mit UF_HIDDEN gekennzeichnet werden, wodurch ihre Sichtbarkeit in Finder.app deaktiviert wird, jedoch nicht verhindert wird, dass versteckte Dateien in Terminal.app angezeigt werden. Viele Anwendungen erstellen versteckte Dateien und Ordner, um den Arbeitsbereich des Benutzers nicht zu überladen. Zum BeispielSSH-Dienstprogramme erstellen einen versteckten SSH-Ordner, in dem eine Liste bekannter Hosts und Benutzerschlüssel gespeichert ist.Schutzempfehlungen: Das Verhindern der Möglichkeit, diese Technik zu verwenden, ist schwierig, da das Ausblenden von Dateien eine Standardfunktion des Betriebssystems ist.System: WindowsRechte: Administrator,Systembeschreibung: Windows-API-Funktionen werden normalerweise in DLLs gespeichert. Die Technik des Hookens besteht darin, Aufrufe an API-Funktionen umzuleiten, indem:- Hook-Prozeduren - in das Betriebssystem integrierte Prozeduren, die Code ausführen, wenn verschiedene Ereignisse aufgerufen werden, z. B. Tastenanschläge oder Bewegen der Maus.
- Änderungen an der Adresstabelle (IAT), in der Zeiger auf API-Funktionen gespeichert sind. Auf diese Weise können Sie die angegriffene Anwendung „austricksen“ und eine böswillige Funktion starten.
- Direkte Funktionsänderung (Spleißen), bei der die ersten 5 Bytes der Funktion geändert werden, stattdessen wird der Übergang zu einer vom Angreifer bestimmten böswilligen oder anderen Funktion eingefügt.
Wie bei Injektionen können Angreifer mithilfe von Hooking schädlichen Code ausführen, dessen Ausführung maskieren, auf den Speicher des angegriffenen Prozesses zugreifen und die Berechtigungen erhöhen. Angreifer können API-Aufrufe erfassen, die Parameter enthalten, die Authentifizierungsdaten enthalten. Das Hooking wird normalerweise von Rootkits verwendet, um böswillige Aktivitäten im System zu verbergen.Schutzempfehlungen:Das Abfangen von Ereignissen im Betriebssystem ist Teil des normalen Betriebs des Systems. Daher kann jede Einschränkung dieser Funktionalität die Stabilität legitimer Anwendungen wie Antivirensoftware beeinträchtigen. Die Bemühungen, den Einsatz von Abfangtechniken zu verhindern, müssen sich auf die früheren Phasen der Angriffskette konzentrieren. Sie können böswillige Hooking-Aktivitäten erkennen, indem Sie Aufrufe der Funktionen SetWindowsHookEx und SetWinEventHook überwachen, Rootkit-Detektoren verwenden und anomales Verhalten von Prozessen analysieren.System: WindowsRechte: Administrator,Systembeschreibung: Der Hypervisor kann von einem Angreifer kompromittiert werden und Rootkits sind vor Gastsystemen verborgen.Sicherheitsempfehlungen: Verhindern Sie den böswilligen Zugriff auf privilegierte Konten, die für die Installation und Konfiguration eines Hypervisors erforderlich sind.System: Windows-Rechte: Administrator, Systembeschreibung: Mit dem IFEO-Mechanismus (Image File Execution Options) können Sie einen Programmdebugger anstelle eines Programms ausführen, das zuvor vom Entwickler in der Registrierung angegeben wurde:- HKLM \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Ausführungsoptionen für Image-Dateien / [ausführbare Datei]
- HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\[executable] ,, [executable] — .
Wie bei Injektionen kann der Wert [ausführbare Datei] missbraucht werden, indem beliebiger Code ausgeführt wird, um die Berechtigungen zu erhöhen oder im System Fuß zu fassen. Schädliche Programme können IFEO verwenden, um den Schutz zu umgehen, indem sie Debugger registrieren, die verschiedene System- und Sicherheitsanwendungen umleiten und ablehnen.Schutzempfehlungen: Die beschriebene Technik basiert auf dem Missbrauch regulärer Betriebssystementwicklungstools. Daher können Einschränkungen zu Instabilität legitimer Software führen, z. B. Sicherheitsanwendungen. Die Bemühungen, die Verwendung von IFEO-Injektionstechniken zu verhindern, müssen sich auf die früheren Stadien der Angriffskette konzentrieren. Sie können einen solchen Angriff erkennen, indem Sie Prozesse mit Debug_process und überwachenDebug_only_this_process .System: Linux, macOSRechte: RootBeschreibung: Herunterladbare Kernelmodule (LKM) sind spezielle Programme, die vom Kernel geladen und entladen werden können, ohne dass ein vollständiger Neustart des Systems erforderlich ist. Beispielsweise enthält LKM Gerätetreiber. Angreifer können böswillige LKMs mit verschiedenen Rootkits laden. In der Regel brechen sich solche Rootkits selbst, Dateien, Prozesse, Netzwerkaktivitäten, gefälschte Überwachungsprotokolle und Hintertüren. Wie bei LKM unter macOS gibt es sogenannte KEXTs, die mit den Befehlen kextload und kextunload geladen und entladen werden.Schutzempfehlungen:Verwenden Sie Linux-Rootkit-Erkennungstools: rkhunter, chrootkit. Beschränken Sie den Zugriff auf das Root-Konto, das zum Laden von Modulen in den Kernel erforderlich ist. Verwenden Sie die SELinux-Zwangszugriffskontrolle.System: macOSRechte: BenutzerBeschreibung: Mach-O-Dateien enthalten eine Reihe von Headern, mit denen bestimmte Vorgänge beim Herunterladen einer Binärdatei ausgeführt werden. Der Header LC_LOAD_DYLIB in Mach-O-Binärdateien teilt dem Betriebssystem mit, welche Dylib-Bibliotheken geladen werden sollen. Änderungen an den Headern machen die digitale Signatur ungültig. Ein Angreifer kann jedoch den Befehl LC_CODE_SIGNATURE aus der Binärdatei löschen, und das System überprüft beim Herunterladen nicht, ob die Signatur korrekt ist.Schutzempfehlungen: Alle Binärdateien müssen mit den richtigen Apple Developer IDs signiert sein, und Whitelists von Anwendungen werden nach bekannten Hashes erstellt.System: Windows-Rechte: Administrator, Systembeschreibung: Local Security Authority (LSA) - ein Windows-Subsystem, das die Benutzerauthentifizierung bereitstellt. Die LSA enthält mehrere dynamisch miteinander verbundene DLLs, die im Prozess LSASS.exe ausgeführt werden. Angreifer können LSASS.exe angreifen, indem sie unzulässige LSA-Treiber ersetzen oder hinzufügen und dann beliebigen Code ausführen. Die Technik ist in der Pasam- und Wingbird-Malware implementiert, die die modifizierten DLLs, die zum Laden von LSASS verwendet werden, "aufwirft". In diesem Fall wird der Schadcode ausgeführt, bevor die unzulässige DLL einen Absturz und einen anschließenden Absturz des LSASS-Dienstes verursacht.Schutzempfehlungen: Aktivieren Sie in Windows 8.1 und Server 2012 R2 den LSA-Schutz, indem Sie den angegebenen Schlüssel aktivieren:- HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Lsa \ RunAsPPL = dword: 00000001.
Dieser Schutz stellt sicher, dass LSA-geladene Plugins und Treiber von Microsoft digital signiert werden. Aktivieren Sie unter Windows 10 und Server 16 den Windows Defender Credential Guard , um lsass.exe in einer isolierten virtuellen Umgebung auszuführen. Aktivieren Sie den sicheren DLL-Suchmodus, um das Risiko zu verringern, dass böswillige Bibliotheken in lsass.exe geladen werden:- HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Session Manager \ SafeDllSearchMode.
System: macOSRechte: Benutzer, AdministratorBeschreibung: Die Technik besteht darin, die Funktionalität des Erstellens und Startens durch Benutzer zu missbrauchen. Starten Sie Agenten - Autorun-Dienste auf Benutzerebene. Wenn sich jeder Benutzer am System anmeldet, lädt launchd die Parameter der Launch Agents aus * .plist-Dateien. Plist-Dateien haben eine XML-Struktur und enthalten Anweisungen, die launchd mitteilen, welche ausführbaren Dateien und wann sie gestartet werden sollen. Plist-Dateien finden Sie in den folgenden Verzeichnissen:- / System / Library / LaunchAgents;
- / Library / LauncAgents;
- $ Home / Bibliothek / LaunchAgents.
Angreifer können auch die Namen böswilliger Startagenten mithilfe der Namen legitimer Programme maskieren. Der Komplex-Trojaner erstellt beispielsweise einen Startagenten: $ HOME / Library / LaunchAgents / com.apple.updates.plist.Schutzempfehlungen: Konfigurieren Sie mithilfe von Gruppenrichtlinien die Einschränkung für Benutzer, die Startagenten erstellen. Das Erstellen von Launch Agents umfasst das Laden oder Erstellen von Plist-Dateien auf der Festplatte. Konzentrieren Sie Ihre Verteidigungsbemühungen daher auf die früheren Phasen des Angriffs.System: macOSRechte: AdministratorBeschreibung: Die Technik besteht darin, die Parameter der Systemstartdienste - Launch Daemon, die in den Plist-Dateien angegeben sind, vom Angreifer zu ändern. Beim Systemstart lädt der Launchd-Prozess die Parameter von Diensten (Daemons) aus Plist-Dateien in den folgenden Verzeichnissen:- / System / Library / LaunchDeamons;
- / Library / LaunchDeamons.
Launch Daemon kann mit Administratorrechten erstellt, aber unter dem Root-Konto ausgeführt werden, sodass ein Angreifer die Berechtigungen eskalieren kann. Die Berechtigungen der plist-Dateien müssen root sein. Das darin angegebene Skript oder Programm verfügt jedoch möglicherweise über weniger strenge Berechtigungen. Daher kann ein Angreifer die in plist angegebenen ausführbaren Dateien und damit die aktuellen Systemdienste ändern, um das System zu sichern oder Berechtigungen zu eskalieren.Sicherheitstipps: Beschränken Sie die Benutzerrechte, damit nur autorisierte Administratoren den Startdämon erstellen können. Überwachen Sie mit Anwendungen wie KnockKnock, wie Plist-Dateien auf Ihrem System erstellt werden.System: macOSRechte: Benutzer, AdministratorBeschreibung: Launchctl - ein Dienstprogramm zum Verwalten des Launchd-Dienstes. Mit Launchctl können Sie System- und Benutzerdienste (LaunchDeamons und LaunchAgents) verwalten sowie Befehle und Programme ausführen. Launchctl unterstützt Befehlszeilen-Unterbefehle, die interaktiv sind oder von der Standardeingabe umgeleitet werden:launchctl submit -l [Labelname] - / Path / to / thing / to / execute '' arg "'' arg" '' arg ".Starten und Neustarten von Diensten und Daemons können Angreifer Code ausführen und sogar die Whitelist umgehen, wenn launchctl ein autorisierter Prozess ist. Das Laden, Entladen und Neuladen von Diensten und Daemons erfordert jedoch möglicherweise erhöhte Berechtigungen.Schutzempfehlungen:Einschränken der Benutzerrechte zum Erstellen von Startagenten und zum Starten von Startdeamons mithilfe von Gruppenrichtlinien. Mit der KnockKnock-App können Sie Programme ermitteln, die mit launchctl Launch Agents und Launch Deamons verwalten.System: Linux, macOSRechte: Benutzer, Administrator, RootBeschreibung: Angreifer können auf den angegriffenen Systemen Aufgaben erstellen, damit nicht autorisierte Programme beim Systemstart oder nach einem Zeitplan gestartet werden. Linux- und Apple-Systeme unterstützen verschiedene Methoden zum Planen des Starts periodischer Hintergrundaufgaben: cron, at, launchd. Im Gegensatz zum Windows Task Scheduler kann die Taskplanung auf Linux-Systemen nicht remote durchgeführt werden, außer bei Verwendung von Remotesitzungen wie SSH.Schutzempfehlungen: Einschränkung der Benutzerrechte zum Erstellen geplanter Aufgaben, Blockieren von Systemdienstprogrammen und anderer Software, die zum Planen von Aufgaben verwendet werden kann.System: macOSRechte: BenutzerBeschreibung: Angreifer, die sich im System sichern möchten, können ihren Code so konfigurieren, dass er automatisch mithilfe von Anmeldeelementen gestartet wird (Benutzereinstellungen für den Anwendungsstart bei jeder Anmeldung). Mit dem Service Management Framework erstellte Anmeldeelemente werden in den Systemeinstellungen nicht angezeigt und können nur über die Anwendung gelöscht werden, in der sie erstellt wurden. Benutzer können nur die Anmeldeelemente verwalten, die in den Systemeinstellungen angezeigt werden. Die Einstellungen für solche Anmeldeelemente werden in der plist-Datei im Benutzerverzeichnis gespeichert:~ / Library / Preferences / com.apple.loginitems.plist.Die Anwendungen, die Teil des Anmeldeelements sind, können Fenster anzeigen, die beim Start für den Benutzer sichtbar sind. Sie können sie jedoch mit der Option „Ausblenden“ ausblenden.Schutzempfehlungen: Beschränken Sie die Benutzerrechte zum Erstellen eines Anmeldeelements. Es ist zu beachten, dass das Halten der Umschalttaste während der Anmeldung verhindert, dass Anwendungen automatisch gestartet werden. Steuern Sie die Einstellungen für Anmeldeelemente ( Systemeinstellungen → Benutzer und Gruppen → Anmeldeelemente ).System: Windows, macOSBeschreibung: Zur Konsolidierung im System kann ein Angreifer die Möglichkeit nutzen, neue Anmeldeskripts zu erstellen oder vorhandene anzumelden - Skripte, die ausgeführt werden, wenn sich ein bestimmter Benutzer oder eine bestimmte Benutzergruppe am System anmeldet. Wenn ein Angreifer Zugriff auf ein Anmeldeskript auf einem Windows-Domänencontroller erhalten hat, kann er es so ändern, dass Code auf allen Systemen in der Domäne ausgeführt wird, um das Netzwerk von der Seite zu verschieben. Abhängig von den Einstellungen der Zugriffsrechte auf die Anmeldeskriptdateien (normalerweise werden solche Skripte in \\ [DC] \ NETLOGON \ gespeichert ) benötigt der Angreifer möglicherweise lokale oder administrative Anmeldeinformationen.Anmeldeskripte auf dem Mac ( Login / Logout Hook) kann im Gegensatz zum Login-Element, das im Kontext des Benutzers gestartet wird, als root ausgeführt werden.Sicherheitsempfehlungen: Einschränken der Administratorrechte zum Erstellen von Anmeldeskripten. Identifizierung und Blockierung potenziell gefährlicher Software, mit der Anmeldeszenarien geändert werden können.System: Windows-Rechte: Administrator, Systembeschreibung: Um wiederholt schädlichen Code auf einem System zu starten, kann ein Angreifer die Konfiguration vorhandener Dienste mithilfe von Systemdienstprogrammen oder Tools für die Interaktion mit der Windows-API ändern. Angreifer können einen Dienst absichtlich beschädigen oder beenden, um anschließend ein geändertes Programm oder einen Dienstwiederherstellungsbefehl aufzurufen. Die Verwendung vorhandener Dienste ist eine der Maskentechniken, die es schwierig macht, böswillige Aktivitäten zu erkennen. Informationen zur Konfiguration von Windows-Diensten, einschließlich des Pfads zu den Programmen und Befehlen zum Starten und Wiederherstellen des Dienstes, werden in der Registrierung gespeichert:- HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ services .
Sie können die Konfiguration von Diensten mit den Konsolendienstprogrammen sc.exe und Reg ändern.Schutzempfehlungen: Einschränkung der Berechtigungen von Benutzern und Gruppen zum Ändern von Dienstkonfigurationen, Gewährung von Rechten nur autorisierten Administratoren. Blockieren potenziell gefährlicher Software. Um Änderungen an Systemdiensten zu untersuchen und Versuche zu identifizieren, einen Angreifer im System zu sichern, können Sie das Dienstprogramm Sysinternals Autoruns verwenden.System: Windows
Rechte: Administrator, System
Beschreibung: Angreifer können Code mit dem integrierten Netsh-Konsolendienstprogramm ausführen, mit dem Erweiterungs-DLLs geladen werden können, um die Funktionalität zu erweitern:
netsh> helper hinzufügen [DLL-Pfad]Informationen zu registrierten Bibliotheken, die von netsh verwendet werden, werden in der Registrierung gespeichert:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ NetShEinige Unternehmens-VPN-Clients und Netzwerkdienstprogramme können netsh.exe verwenden und im Auftrag des Systems starten. In dieser Situation kann der Angreifer die zusätzliche DLL registrieren oder ändern, die ausgeführt wird, wenn der VPN-Client netsh verwendet. Tools zur Implementierung dieser Art von Angriff sind in
CobaltStrike (Penetrationstest-Framework) enthalten.
Sicherheitstipps: Blockieren Sie potenziell gefährliche Software mit Tools wie AppLocker.
System: Windows
Rechte: Administrator, System
Beschreibung: Benennen Sie den Zugriff auf das System. Angreifer können neue Dienste erstellen und diese so konfigurieren, dass sie automatisch gestartet werden. Der Dienstname kann mit betriebssystemspezifischen Namen maskiert werden. Dienste können mit Administratorrechten erstellt, aber im Auftrag des Systems ausgeführt werden. Dienste können über die Befehlszeile mithilfe von RAS-Tools mit Interoperabilität mit der Windows-API oder mithilfe von Standard-Windows- und PowerShell-Verwaltungstools erstellt werden.
Sicherheitsempfehlungen: Beschränken Sie die Benutzerrechte zum Erstellen neuer Dienste, sodass dies nur autorisierten Administratoren möglich ist. Wenden Sie die AppLocker- und
Softwareeinschränkungsrichtlinie an .
System: Windows
Rechte: Benutzer, Administrator
Beschreibung: Einige MS Office-Arbeitsmechanismen können verwendet werden, um Code beim Ausführen von Office-Anwendungen auszuführen und Angreifern daher ihre Konstanz im System bereitzustellen:
• Einbetten schädlicher VBA-Makros in die grundlegenden Office-Vorlagen. Word verwendet die Vorlage Normal.dotm:
C: \ Benutzer \ [Benutzername] \ AppData \ Roaming \ Microsoft \ Templates \ Normal.dotm .
In Excel gibt es keine Standardvorlage. Sie können sie jedoch manuell hinzufügen und sie wird automatisch geladen:
C: \ Benutzer \ [Benutzername] \ AppData \ Roaming \ Microsoft \ Excel \ XLSTART \ Personal.xls .
Die Implementierung des Angriffs ist nur möglich, wenn die Option "
Alle Makros ausführen " im Office Trust Center aktiviert ist:
HKEY_CURRENT_USER \ Software \ Microsoft \ Office \ [Version] \ [Anwendung] \ Sicherheit \ VBAWarnings: 1;• Wenn Sie einen DLL-Link in den Office-Testabschnitt der Windows-Registrierung einfügen, wird die angegebene DLL bei jedem Start der Office-Anwendung ausgeführt:
HKEY_CURRENT_USER \ Software \ Microsoft \ Office Test \ Special \ Perf \ [Standard]: [Geben Sie den Pfad zur DLL an];• Hinzufügen von Add-Ons zur Office-Anwendung mit schädlichem Code, der ausgeführt wird, wenn die angegriffene Anwendung gestartet wird.
Best Practices für die Sicherheit : Befolgen Sie
die Best Practices von Microsoft, wenn Sie die Sicherheitseinstellungen für Makros konfigurieren . Um den Betrieb des Office-Testmechanismus zu verhindern, erstellen Sie den angegebenen Abschnitt in der Registrierung und legen Sie schreibgeschützte Berechtigungen fest, um den Zugriff ohne Administratorrechte zu verhindern. Deaktivieren Sie nach Möglichkeit Office-Add-Ins, falls erforderlich, und befolgen Sie bei der Organisation ihrer Arbeit die
Empfehlungen von Microsoft .
System: Windows
Rechte: Benutzer, Administrator, System
Beschreibung: Die Methode zum Abfangen eines Pfads besteht darin, die ausführbare Datei in einem Verzeichnis abzulegen, von dem aus die Anwendung sie anstelle der Zieldatei startet. Ein Angreifer kann die folgenden Methoden anwenden:
- Nicht vorhandene Pfade. Die Pfade zu den ausführbaren Dateien des Dienstes werden in den Registrierungsschlüsseln gespeichert und können einen oder mehrere Leerzeichen enthalten, z. B. C: \ Programme \ service.exe . Wenn der Angreifer die Datei C: \ Program.exe im System erstellt, wird sie von Windows gestartet, anstatt den Pfad zu verarbeiten Service-Zieldatei.
- Falsche Konfiguration von Umgebungsvariablen. Wenn in der Variablen PATH der Pfad C: \ example vor c: \ Windows \ System32 steht und die Datei C: \ example \ net.exe vorhanden ist , wird beim Aufruf des Befehls net C: \ example \ net.exe ausgeführt und nicht c: \ Windows \ System32 \ net.exe .
- Abfangen der Suchreihenfolge (Hijacking der Suchreihenfolge). Wenn der vollständige Pfad zur ausführbaren Datei nicht angegeben ist, sucht Windows in der Regel im aktuellen Verzeichnis nach der Datei mit dem angegebenen Namen und durchsucht dann die Systemverzeichnisse. Beispielsweise startet die Datei "example.exe" bei der Ausführung cmd.exe mit Argumenten, um den Befehl net use auszuführen. Der Angreifer kann die Datei net.exe im Speicherverzeichnis example.exe ablegen und sie wird anstelle des Dienstprogramms c: \ Windows \ System32 \ net.exe gestartet . Wenn der Angreifer die net.com-Datei im Verzeichnis mit der net.exe-Datei ablegt, führt Windows net.com gemäß der in der Systemvariablen PATHEXT definierten Ausführungsreihenfolge aus.
Das Abfangen der Dateisuchreihenfolge wird auch zum Ausführen von DLLs mithilfe der Search Hijacking DLL- Technik verwendet.Sicherheitsempfehlungen: Anführungszeichen geben Pfade an, die in Konfigurationsdateien, Skripten, der PATH-Variablen, Diensteinstellungen und Verknüpfungen angegeben sind. Beachten Sie die Suchreihenfolge der ausführbaren Dateien und verwenden Sie nur vollständige Pfade. Bereinigen Sie die alten Registrierungsschlüssel, die von der Remote-Software übrig geblieben sind, sodass in der Registrierung keine Schlüssel mehr vorhanden sind, die auf nicht vorhandene Dateien verweisen. Richten Sie ein Schreibverbot für Benutzer des Systems in das Stammverzeichnis C: \ und in die Windows-Systemverzeichnisse ein und beschränken Sie die Schreibberechtigungen auf Verzeichnisse mit ausführbaren Dateien.
System: macOS
Rechte: Benutzer, Administrator
Beschreibung: Angreifer können Plist-Dateien ändern, indem sie in ihnen ihren eigenen Code für die Ausführung im Kontext eines anderen Benutzers angeben. Die plist-Eigenschaftendateien in
/ Library / Preferences werden mit erhöhten Berechtigungen ausgeführt, und die plist-Dateien aus
~ / Library / Preferences werden mit Benutzerberechtigungen ausgeführt.
Sicherheitstipps
: Verhindern Sie, dass Plist-Dateien geändert werden, indem Sie sie schreibgeschützt machen.
System: Linux, MacOS
Rechte: Benutzer
Beschreibung: Angreifer können Port Knocking-Methoden verwenden, um offene Ports auszublenden, über die sie eine Verbindung zum System herstellen.
Sicherheitstipps: Die Verwendung von Stateful Firewalls kann verhindern, dass einige Port Knocking-Optionen implementiert werden.
System: Windows
Rechte: Administrator, System
Beschreibung: Ein Angreifer kann bei jedem Start von Windows die Ausführung einer beliebigen DLL im Namen des Systems veranlassen, wenn die Druckmanagereinstellungen (Spoolsv.exe) missbraucht werden. Für die Interaktion mit Druckgeräten verwendet Spoolsv.exe die sogenannten Port-Monitore. Hierbei handelt es sich um DLLs, die Befehle auf niedriger Ebene verwenden, um über LAN-, USB-, LPT- oder COM-Schnittstelle an Druckgeräte gesendet zu werden. Die oben genannten DLLs werden in
C: \ windows \ system32 gespeichert und in der Registrierung registriert:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Print \ Monitors .
Port Monitor kann mithilfe der AddMonitor-API oder direkt durch Bearbeiten des obigen Registrierungsschlüssels installiert werden.
Schutzempfehlungen: Organisieren Sie das Blockieren potenziell gefährlicher Software und verwenden Sie Tools zur Steuerung des Anwendungsstarts.
System: macOS
Rechte: root
Beschreibung: Ein Angreifer kann der Datei
/etc/rc.common Code hinzufügen, der bei jedem Systemstart als Root ausgeführt wird. Rc.common ist ein Skript, das während des OC-Starts ausgeführt wird und der Vorläufer von Launch Agents und Launh Deamons ist. Dies ist eine veraltete Technologie für Autostart-Programme, die jedoch unter MacOS und OS X weiterhin unterstützt wird.
Sicherheitsempfehlungen: Beschränken Sie die Benutzerrechte, um die Datei rc.common zu bearbeiten.
System: macOS
Rechte: Benutzer
Beschreibung: Auf Systemen, die mit
OS X 10.7 (Lion) beginnen , kann ein Angreifer die Ausführung einer schädlichen Datei bei jedem Neustart des Betriebssystems organisieren. Die Technik basiert auf dem Missbrauch der Funktion zum Neustarten von Anwendungen nach dem Neustart des Systems. Mithilfe der in die GUI integrierten Tools kann der Benutzer dem System mitteilen, welche Anwendungen im Falle eines Neustarts des Betriebssystems neu gestartet werden müssen. Diese Einstellungen werden in Plist-Dateien gespeichert:
- ~ / Library / Preferences / com.apple.loginwindow.plist;
- ~ / Library / Preferences / ByHost / com.apple.loginwindows. *. Plist.
Ein Angreifer kann die oben genannten Dateien so ändern, dass bei jedem Neustart des Systems schädlicher Code ausgeführt wird.
Schutzempfehlungen : Die Neustartfunktion der Anwendung kann mit dem Konsolenbefehl deaktiviert werden:
Standardwert write -g ApplePersistence -bool no .
Wenn Sie während des Startvorgangs die Umschalttaste gedrückt halten, wird außerdem verhindert, dass Anwendungen automatisch gestartet werden.
System: Windows, Linux, MacOS
Rechte: Benutzer, Administrator, System
Beschreibung: Angreifer können gleichzeitig mehrere Fernzugriffstools mit unterschiedlichen Steuerprotokollen verwenden, um Erkennungsrisiken zu diversifizieren. Wenn also eines der Remotezugriffstools erkannt und blockiert wird, die verteidigende Partei jedoch nicht alle Tools des Angreifers identifiziert hat, bleibt der Remotezugriff auf das angegriffene Netzwerk erhalten. Angreifer können auch versuchen, Zugriff auf gültige Konten von Remote-Unternehmensdiensten wie VPNs zu erhalten, um alternativen Zugriff auf das System zu erhalten, falls die grundlegenden Tools für den Remotezugriff blockiert werden. Die Verwendung einer Web-Shell ist auch eine der Möglichkeiten, über einen Webserver remote auf ein Netzwerk zuzugreifen.
Schutzempfehlungen
: Überwachen Sie das Vorhandensein und die Blockierung des Starts bekannter RAS-Tools in Ihrem Netzwerk (AmmyAdmin, Radmin, RemotePC, VNC usw.), steuern Sie den Anwendungsstart mithilfe von Tools und blockieren Sie potenziell gefährliche Software. Die Einführung von IDS- und IPS-Systemen, die bestimmte Malware mithilfe von Signaturen erkennen, verringert die Wahrscheinlichkeit eines erfolgreichen Angriffs. Im Laufe der Zeit ändern Angreifer jedoch ihre Tools, um die Signatur zu ändern, und umgehen daher IDS- und IPS-Systeme.
System: Windows
Rechte: Benutzer, Administrator
Beschreibung: Ein Angreifer kann einen "Ausführungsschlüssel" oder einen Link zum Startordner in der Windows-Registrierung hinzufügen, um eine schädliche Datei zu starten, wenn sich ein Benutzer am System anmeldet. Das Programm wird mit den Rechten des aktuellen Benutzers ausgeführt. Angreifer können Startschlüssel in der Registrierung maskieren, sodass sie wie Teil legitimer Programme aussehen.
Ausführungsschlüssel werden in den folgenden Registrierungsschlüsseln gespeichert:
- HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run;
- HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce;
- HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run;
- HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunOnce.
Schutzempfehlungen: Identifizierung und Blockierung potenziell gefährlicher Software, Überwachung von Änderungen am Startordner und den oben aufgeführten Registrierungszweigen.
System: Windows
Rechte: Administrator, System
Beschreibung: Angreifer können die Komponenten der Architektur zum Signieren und Überprüfen der digitalen Signatur von Windows-Code ändern, um die Steuerung des Starts von Programmen zu umgehen, mit denen nur signierter Code ausgeführt werden kann. Zum Erstellen, Signieren und Überprüfen der Signatur von Dateien verschiedener Formate in Windows wird das sogenannte
Subject Interface Package (SIP) verwendet - Softwarespezifikationen, die für jeden Dateityp eindeutig sind und über die die Interaktion zwischen API-Funktionen die Erstellung, Berechnung und Überprüfung von Signaturen direkt initiiert Dateien. Die Gültigkeit der Signatur wird vom sogenannten
Trust Provider bestätigt - dies sind Softwarekomponenten des Betriebssystems, die verschiedene Verfahren zur Berechnung und Überprüfung digitaler Signaturen ausführen.
Beliebte Angriffsmethoden:
- Änderung der DLL- und FuncName-Schlüssel im Abschnitt CryptSIPDllGetSignedDataMsg :
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Cryptography \ OID \ EncodingType 0 \ CryptSIPDllGetSignedDataMsg \ [SIP_GUID] .
Es wird ausgeführt, um die DLL-Bibliothek zu ersetzen, die die CryptSIPDllGetSignedDataMSG- Funktion bereitstellt , die das codierte digitale Zertifikat aus der signierten Datei zurückgibt. Eine gefälschte Funktion kann bei Verwendung eines geänderten SIP immer einen zuvor bekannten gültigen Signaturwert zurückgeben (z. B. eine Microsoft-Signatur für ausführbare Systemdateien). Ein Angreifer kann versuchen, eine gültige Signatur für alle Dateien anzuwenden. Dies führt jedoch höchstwahrscheinlich zu einer Ungültigmachung der Signatur, da der von der Funktion zurückgegebene Hash nicht mit dem aus der Datei berechneten Hash übereinstimmt. - Änderung der DLL- und FuncName-Schlüssel im Abschnitt:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Cryptography \ OID \ EncodingType 0 \ CryptSIPDllVerifyIndirectData / [SIP_GUID] .
Es wird ausgeführt, um die DLL-Bibliothek zu ersetzen, die die CryptSIPDllVerifyIndirectData- Funktion bereitstellt , die den aus der Datei berechneten Hash mit dem in der digitalen Signatur angegebenen Hash überprüft und das Ergebnis der Überprüfung zurückgibt (True / False). Auf diese Weise kann ein Angreifer mithilfe eines geänderten SIP eine erfolgreiche Überprüfung jeder Datei sicherstellen. Die oben genannten Schlüsselwerte können aus einer vorhandenen Bibliothek zu einer geeigneten Funktion umleiten, sodass keine neue DLL-Datei auf der Festplatte erstellt werden muss. - Änderung der DLL- und FuncName-Schlüssel im Abschnitt:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Cryptography \ Providers \ Trust \ FinalPolicy / [GUID des Vertrauensanbieters] .
Damit soll die DLL-Bibliothek ersetzt werden, die die FinalPolicy-Funktion für einen bestimmten Vertrauensanbieter bereitstellt, der die Signatur dekodiert, analysiert und eine Entscheidung über das Vertrauen trifft. Ähnlich wie bei CryptSIPDllVerifyIndirectData kann der Wert der obigen Schlüssel zu einer vorhandenen DLL umleiten.
Es ist wichtig zu beachten, dass der beschriebene Angriff auf den Windows-Vertrauensmechanismus mithilfe der DLL-Suchreihenfolge-Hijacking-Technik implementiert werden kann.Schutzempfehlungen: Stellen Sie sicher, dass Benutzer des geschützten Systems keine Registrierungsschlüssel für die SIP- und Trust Provider-Komponenten ändern können. Entfernen Sie möglicherweise unnötige und veraltete SIPs. Verwenden Sie alle möglichen Mittel, um den Download von schädlichen DLLs zu blockieren, z. B. die in Windows AppLocker und DeviceGuard integrierten.
System: Windows
Rechte: Benutzer, Administrator, System
Beschreibung: Dienstprogramme wie at, schtasks und Windows Task Scheduler können verwendet werden, um Programme und Skripts so zu planen, dass sie zu einem bestimmten Datum und einer bestimmten Uhrzeit ausgeführt werden. Eine Aufgabe kann auf einem Remote-System geplant werden, vorausgesetzt, RPC wird zur Authentifizierung verwendet und die Drucker- und Dateifreigabe ist aktiviert. Das Planen von Aufgaben auf einem Remote-System erfordert Administratorrechte. Ein Angreifer kann die Remotecodeausführung verwenden, um Systemberechtigungen zu erlangen oder einen Prozess unter einem bestimmten Konto zu starten.
Schutzempfehlungen: Beschränken Sie die Benutzerrechte. Die Verwendung von Tools wie dem PowerUP-Modul in PowerSploit, mit denen Schwachstellen bei der Lösung geplanter Aufgaben gefunden werden können. Deaktivieren der Möglichkeit, Aufgaben im Namen des Systems zu starten, Deaktivieren der Option "
Serverbetreibern erlauben, Aufgaben zu planen " in der Sicherheitsrichtlinie und Aktivieren der Einstellung "
Zuweisung von Benutzerrechten: Erhöhen der Planungspriorität ".
System: Windows
Rechte: Benutzer
Beschreibung: Angreifer können die Bildschirmschonereinstellungen verwenden, um Malware nach einer bestimmten Zeit der Inaktivität des Benutzers zu starten.
Die Windows-Bildschirmschoneranwendung (scrnsave.exe) befindet sich zusammen mit anderen Bildschirmschonern, die in der Basisbetriebssystem-Assembly enthalten sind, in
C: \ Windows \ System32 . Ein Angreifer kann die Parameter des
Begrüßungsbildschirms im Registrierungsschlüssel
HKEY_CURRENT_USER \ Control Panel \ Desktop bearbeiten :
- SCRNSAVE.EXE - Geben Sie den Pfad zur schädlichen ausführbaren Datei an.
- ScreenSaveActivr - Setzen Sie den Wert auf "1", um den Bildschirmschoner zu aktivieren.
- ScreenSaverISSecure - Setzen Sie den Wert auf "0", damit das System nach dem Ausschalten des Bildschirmschoners kein Kennwort zum Entsperren des Windows-Desktops benötigt.
- ScreenSaverTimeout - Legen Sie den Zeitraum der Inaktivität fest, bevor Sie den Bildschirmschoner starten.
Schutzempfehlungen: Blockieren Sie die Möglichkeit, * .scr-Dateien von nicht standardmäßigen Speicherorten auszuführen. Verwalten Sie Ihre Bildschirmschonereinstellungen mithilfe von Gruppenrichtlinien, die lokale Änderungen an Ihren Bildschirmschonereinstellungen verhindern.
System: Windows
Rechte: Administrator
Beschreibung: Angreifer können bösartigen Code so konfigurieren, dass er bei jedem Systemstart ausgeführt wird oder die AddSecurityPackage-API-Funktion aufgerufen wird, indem der Konfiguration der lokalen Sicherheitsbehörde (LSA) ein gefälschter Sicherheitsunterstützungsanbieter (SSP) hinzugefügt wird. SSP - Programmmodule (DLL) mit einem oder mehreren Authentifizierungs- und Kryptografieschemata, die beim Systemstart in den LSASS-Prozess geladen werden. SPP-DLLs haben Zugriff auf verschlüsselte Kennwörter und Nur-Text-Kennwörter, die in Windows gespeichert sind. Die SPP-Konfiguration wird in zwei Registrierungsschlüsseln gespeichert:
- HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Lsa \ Security Packages ;
- HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Lsa \ OSConfig \ Security Packages .
Schutzempfehlungen: In Windows 8.1, Windows Server R2 und späteren Versionen des Betriebssystems müssen Sie den LSA-geschützten Modus (Process Protect Light - PPL) aktivieren, in dem alle SPP-DLL-Dateien von Microsoft digital signiert werden müssen:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Lsa \ RunAsPPL = dword: 00000001System: Windows
Rechte: Administrator, System
Beschreibung: Wenn die Berechtigungen von Benutzern und Gruppen das Ändern der Werte der Schlüssel in der Windows-Registrierung ermöglichen, in der die Dienstparameter gespeichert sind, können Angreifer die Schlüssel, in denen die Pfade zu den ausführbaren Dateien zum Starten der Dienste gespeichert sind, direkt ändern oder verschiedene Dienstverwaltungstools verwenden - sc.exe, PowerShell oder Reg. Angreifer können auch Parameter ändern, die sich auf einen Dienstfehler beziehen, z. B. FailureCommand, und einen Befehl angeben, der im Falle eines Dienstfehlers oder einer vorsätzlichen Beschädigung ausgeführt wird. Dienstparameter werden in
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ services gespeichert.
Schutzempfehlungen: Stellen Sie sicher, dass Benutzer des geschützten Systems keine Schlüssel in der Registrierung ändern können, in denen die Parameter der Systemkomponenten gespeichert sind. Verwenden Sie alle möglichen Mittel zum Blockieren potenziell gefährlicher Software, z. B. Windows AppLocker.System: Windows-Rechte: Benutzer, AdministratorBeschreibung: Angreifer können neue Verknüpfungen und symbolische Links erstellen, die als legitime Programme getarnt sind, oder die Pfade in vorhandenen Verknüpfungen so ändern, dass ihre Tools anstelle der ursprünglichen Anwendung ausgeführt werden.Sicherheitsempfehlungen: Beschränken Sie die Rechte von Benutzern und Gruppen, z. B. Administratoren, zum Erstellen symbolischer Links mithilfe des Gruppenrichtlinienobjekts:Computerkonfiguration> [Richtlinien]> Windows-Einstellungen> Sicherheitseinstellungen> Lokale Richtlinien> Zuweisung von Benutzerrechten: Erstellen Sie symbolische Links.Verwenden Sie Tools, um potenziell gefährliche Software und Richtlinien zur Softwareeinschränkung zu blockieren.System: macOSRechte: AdministratorBeschreibung: Ein Angreifer kann den veralteten, aber immer noch ausgeführten macOS Sierra-Mechanismus zum automatischen Starten von Anwendungen mithilfe von StartupItems verwenden, um den Start seines Codes mit Root-Rechten beim Start zu konfigurieren. StartupItems ist ein Verzeichnis in / Library / Startupitems , ein Befehlsskript und die Eigenschaftendatei StartupParameters.plist. Die Skript- und Eigenschaftendatei muss sich oben in der Hierarchie befinden: / Library / Startupitems / [MyStartupItem] . Schutzempfehlungen: Da der StartupItems-Mechanismus veraltet ist, verhindert das Verbot des Schreibens in das Verzeichnis / Library / Startupitems / die Erstellung von Startelementen .System: WindowsRechte: Administrator, Systembeschreibung: Besonders anspruchsvolle Angreifer können Bios, UIFI oder UFI ändern oder neu flashen, um die Möglichkeit zu bieten, schädliche Firmware-Updates zu installieren und im System zu beheben.Schutzempfehlungen: Richten Sie den Schutzvektor so aus, dass der Angreifer nicht auf privilegierte Konten zugreifen kann, die zur Implementierung der beschriebenen Technik erforderlich sind. Berücksichtigen Sie die Notwendigkeit und Anwendbarkeit des Trusted Platform Module (TPM) im geschützten System . Berücksichtigen Sie die Notwendigkeit, externe Tools zur Überwachung und Analyse der Sicherheit der Systemfirmware zu verwenden , z. B. das CHIPSEC Framework .System: Windows-Rechte: Administrator,Systembeschreibung: Angreifer können als Zeitanbieter (Zeitanbieter) eine schädliche DLL registrieren, die ausgeführt wird, wenn das System gestartet oder die Konfiguration von Windows Time Server (W32Time) geändert wird. Die Parameter derZeitanbieter werden in der Registrierung gespeichert: HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ services \ W32Time \ TimeProviders .Um einen Zeitanbieter zu registrieren, benötigen Sie Administratorrechte, die jedoch im Kontext des lokalen Dienstkontos ausgeführt werden.Schutzempfehlungen:Verwenden Sie ein Gruppenrichtlinienobjekt, um blockierende Änderungen an den W32Time-Einstellungen zu konfigurieren. Verwenden Sie alle möglichen Mittel, um den Download von schädlichen DLLs zu blockieren, z. B. die in Windows AppLocker und DeviceGuard integrierten.System: Linux, macOSRechte: Benutzer, AdministratorBeschreibung: Der Befehl trap schützt das Skript vor Unterbrechungen ( Strg + C, Strg + D, Strg + Z usw.). Wenn das Skript ein Interrupt-Signal empfängt, das in den Argumenten des Trap-Befehls angegeben ist, verarbeitet es das Interrupt-Signal selbstständig, während die Shell ein solches Signal nicht verarbeitet. Angreifer können Trap verwenden, um Code zu registrieren, der ausgeführt wird, wenn die Shell bestimmte Interrupt-Signale empfängt.Schutzempfehlungen:Die Verwendung dieser Technik ist schwer zu verhindern, da der Angreifer die Standardmechanismen des Betriebssystems verwendet. Der Schutzvektor sollte darauf abzielen, böswillige Aktionen in früheren Phasen des Angriffs zu verhindern, z. B. in der Phase der Übermittlung oder Erstellung einer schädlichen Datei im System.Beschreibung: Angreifer können die Anmeldeinformationen eines bestimmten Benutzers oder Dienstkontos mithilfe der Zugriffstechniken für Anmeldeinformationen stehlen und die Anmeldeinformationen während des Intelligenzprozesses mithilfe von Social Engineering erfassen. Kompromittierte Anmeldeinformationen können verwendet werden, um Zugriffskontrollsysteme zu umgehen und Zugriff auf Remotesysteme und externe Dienste wie VPN, OWA, Remotedesktop zu erhalten oder um erhöhte Berechtigungen für bestimmte Systeme und Bereiche des Netzwerks zu erhalten. Wenn das Szenario erfolgreich ist, können Angreifer Malware ablehnen, um die Erkennung zu erschweren. Außerdem können Angreifer Konten mit vordefinierten Namen und Kennwörtern erstellen, um den Sicherungszugriff aufrechtzuerhalten, falls erfolglos versucht wird, andere Mittel zu verwenden.Schutzempfehlungen: Wenden Sie eine Kennwortrichtlinie an und befolgen Sie die Empfehlungen zum Entwerfen und Verwalten eines Unternehmensnetzwerks, um die Verwendung privilegierter Konten auf allen Verwaltungsebenen einzuschränken. Regelmäßige Überprüfungen von Domänen- und lokalen Konten und deren Rechten, um diejenigen zu identifizieren, die einem Angreifer einen umfassenden Zugriff ermöglichen könnten. Überwachung der Kontoaktivität mithilfe von SIEM-Systemen.System: Windows, Linux, macOSBeschreibung: Web Shell kann von einem Angreifer als Gateway für den Zugriff auf Ihr Netzwerk oder als redundanten Zugriff auf das angegriffene System verwendet werden, als Sicherungsmechanismus für den Fall, dass Hauptzugriffskanäle für die angegriffene Umgebung erkannt und blockiert werden.Schutzempfehlungen:Stellen Sie sicher, dass Ihre externen Webserver regelmäßig aktualisiert werden und keine bekannten Sicherheitslücken bekannt sind, die es Angreifern ermöglichen, eine Datei oder ein Skript bei der anschließenden Ausführung auf den Server hochzuladen. Stellen Sie sicher, dass die Berechtigungen von Konten und Gruppen mit Serververwaltungsrechten nicht mit den internen Netzwerkkonten übereinstimmen, mit denen Sie sich beim Webserver anmelden, die Web-Shell starten oder eine Verbindung zum Webserver herstellen können. Web Shell ist schwer zu erkennen, weil Sie initiieren keine Verbindungen und ihre Serverseite kann klein und harmlos sein. Beispielsweise sieht die PHP-Version der China Chopper Web Shell wie eine Zeile aus:[? php eval ($ _POST ['password']);]System: Windows-Rechte: Administrator,Systembeschreibung: Das WMI-Ereignisabonnement ist eine Funktion, mit der der Administrator den Empfang von Ereignisbenachrichtigungen konfigurieren kann, einschließlich solcher, die auf Remote-Systemen aufgetreten sind, gefolgt von der automatischen Ausführung von Aktionen (Ausführen eines Skripts, einer Anwendung) usw.). Um im System Fuß zu fassen, können Angreifer die oben beschriebene Funktionalität missbrauchen, indem sie ein Abonnement für Ereignisse wie die Systemuhr oder die Betriebszeit des Computers einrichten und anschließend Code ausführen, wenn dieses Ereignis eintritt.Schutzempfehlungen:Stellen Sie sicher, dass nur Administratorkonten über die Berechtigung verfügen, eine Remoteverbindung mit WMI herzustellen, und dass im geschützten System keine Systemadministratorkonten mit anderen privilegierten Konten übereinstimmen. Das Deaktivieren von WMI kann zu Systeminstabilität führen. Daher ist eine vorläufige Bewertung der möglichen negativen Folgen erforderlich.System: Windows-Rechte: Administrator,Systembeschreibung: Durch Ändern der Parameter der von Winlogon.exe verwendeten Hilfs-DLLs in der Registrierung kann ein Angreifer die mehrfache Ausführung bösartiger DLLs zur Behebung im System bereitstellen. Winlogon-Parameter werden in Abschnitten gespeichert:- • HKEY_CURRENT_USER \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon
- • HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon
Es sind mehrere anfällige Unterabschnitte bekannt:- Winlogon \ Notify - Gibt DLLs an, die Windows-Ereignisse verarbeiten
- Winlogon \ Userinit - verweist auf die Datei userinit.exe, das Benutzerinitialisierungsprogramm, das ausgeführt wird, wenn sich der Benutzer am System anmeldet.
- Winlogon \ Shell - verweist auf die Datei explorer.exe, die System-Shell, die ausgeführt wird, wenn sich ein Benutzer am System anmeldet.
Schutzempfehlungen: Stellen Sie sicher, dass nur autorisierte Administratoren die Winlogon-Einstellungen ändern können. Verwenden Sie alle möglichen Mittel, um den Download von schädlichen DLLs und potenziell gefährlichen Programmen zu blockieren, z. B. solchen, die in Windows AppLocker und DeviceGuard integriert sind.