Suivre 
Detection stack
- AIDR
- Alert
- ETL
- Query
Résumé
L’article explique comment les attaquants peuvent établir une persistance sur Windows en abusant du service W32Time. En enregistrant une DLL malveillante en tant que fournisseur de temps via une modification du registre, la charge utile est automatiquement chargée chaque fois que le service démarre. Cette méthode cache l’exécution malveillante derrière un composant Windows légitime, aidant l’attaquant à intégrer l’activité de persistance dans le comportement normal du système.
Investigation
Le rapport ne se concentre pas sur un échantillon de malware spécifique ou une campagne d’intrusion. Au lieu de cela, il décrit le processus technique qu’un attaquant pourrait utiliser pour modifier les paramètres du registre du service W32Time et forcer le chargement d’une DLL malveillante. Il met également en évidence la syntaxe de commande pertinente et le chemin du registre nécessaire pour mettre en œuvre cet abus.
Atténuation
Les organisations devraient utiliser les stratégies de groupe pour protéger les fichiers du service W32Time et les clés de registre associées contre les modifications non autorisées. L’accès en écriture au registre doit être limité aux administrateurs de confiance, et les défenseurs doivent surveiller les modifications de la sous-clé TimeProviders. Les contrôles stricts de la moindre autorisation pour le compte Local Service et les vérifications d’intégrité des fichiers pour les DLL de W32Time peuvent également réduire le risque.
Réponse
Les équipes de détection doivent alerter lorsque des sous-clés sont créées ou modifiées sous le chemin de registre W32TimeTimeProviders. Les valeurs de registre référant à des DLL inconnues doivent être immédiatement investiguées. Ces signaux doivent être corrélés avec l’activité des processus impliquant le chargement de w32tm.exe d’une DLL non standard, ainsi que tout comportement de persistance associé.
Flux d’attaque
Nous mettons toujours à jour cette partie. Inscrivez-vous pour être averti
M’avertirDétections
Abus possible des TimeProviders (via registry_event)
Voir
Extension de fichier suspecte ajoutée aux clés de démarrage [ASEPs] (via registry_event)
Voir
Points de persistance possibles [ASEPs – Software/NTUSER Hive] (via cmdline)
Voir
Tentative d’abus des TimeProviders (via cmdline)
Voir
Points de persistance possibles [ASEPs – Software/NTUSER Hive] (via registry_event)
Voir
IOC (Emails) à détecter : T1547.003 Time Providers dans MITRE ATT&CK Expliqué
Voir
Détecter la manipulation de registre pour une DLL de fournisseur de temps malveillante [Événement du registre Windows]
Voir
Exécution de simulation
Prérequis : La vérification préalable du vol de télémétrie et de base doit avoir été réussie.
-
Narrative de l’attaque & Commandes :
Un adversaire avec des droits d’administrateur local veut une persistance qui survit aux redémarrages du système et est difficile à détecter. Il choisit d’abuser du service de temps Windows (W32Time) en enregistrant une DLL malveillante en tant que fournisseur de temps. Cette technique exploite l’utilitaire légitimereg.exe(living-off-the-land) pour modifier la clé de registreHKLMSystemCurrentControlSetServicesW32TimeTimeProviders<CustomProvider>. Une fois que le service charge la DLL au démarrage, l’attaquant obtient une exécution de code avec des privilèges SYSTEM. -
Script de test de régression :
# ------------------------------------------------- # Enregistrer une DLL malveillante en tant que fournisseur de temps W32Time # ------------------------------------------------- $providerName = "MaliciousTimeProvider" $dllPath = "C:TempevilTime.dll" # 1. Créez un emplacement réservé pour une DLL malveillante fictive (pour le test uniquement) New-Item -Path $dllPath -ItemType File -Force | Out-Null # 2. Ajoutez la clé de registre du fournisseur de temps $regPath = "HKLMSystemCurrentControlSetServicesW32TimeTimeProviders$providerName" reg add "HKLMSystemCurrentControlSetServicesW32TimeTimeProviders$providerName" /v "Dll" /t REG_SZ /d $dllPath /f # 3. Activez le fournisseur (valeur Enabled = 1) reg add "HKLMSystemCurrentControlSetServicesW32TimeTimeProviders$providerName" /v "Enabled" /t REG_DWORD /d 1 /f Write-Host "Fournisseur de temps malveillant enregistré. Vérifiez le SIEM pour la détection." -
Commandes de nettoyage :
# ------------------------------------------------- # Supprimer l'inscription du fournisseur de temps malveillant # ------------------------------------------------- $providerName = "MaliciousTimeProvider" $regPath = "HKLMSystemCurrentControlSetServicesW32TimeTimeProviders$providerName" # Supprimez la clé du fournisseur de manière récursive reg delete "HKLMSystemCurrentControlSetServicesW32TimeTimeProviders$providerName" /f # Supprimez le fichier DLL fictif Remove-Item "C:TempevilTime.dll" -Force -ErrorAction SilentlyContinue Write-Host "Nettoyage terminé."