SOC Prime Bias: Mittel

04 Jul 2026 06:57 UTC

Quick Assist Vollkontrollmodus aktiviert

Author Photo
SOC Prime Team linkedin icon Folgen
Quick Assist Vollkontrollmodus aktiviert
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Zusammenfassung

Bedrohungsakteure missbrauchen Microsoft Quick Assist, um Social-Engineering-Pläne und gefälschte Helpdesk-Operationen zu unterstützen. Wenn der Freigabemodus „Vollzugriff“ aktiviert ist, kann der Angreifer vollständigen interaktiven Zugriff auf das Gerät des Opfers erhalten. Diese Technik wird oft als Frühschritt bei Ransomware-Vorfällen und anderen Formen von unbefugtem Fernzugriff genutzt.

Untersuchung

Ermittler sollten die Windows-Anwendungsprotokolle, die sich auf den Quick Assist-Anbieter beziehen, überprüfen, insbesondere setsharingmode Aktionen, die FullControl Parameter enthalten. Diese Ereignisse sollten mit QuickAssist.exe Prozess-Telemetrie korreliert werden, einschließlich übergeordneter Prozesse und Befehlszeilendetails. Es ist auch wichtig zu bestätigen, ob die Sitzung einer legitimen IT-Support-Anfrage und berechtigten Support-Mitarbeitern entspricht.

Minderung

Organisationen sollten bewerten, ob Quick Assist in der gesamten Umgebung aktiviert bleiben muss oder ob es durch Richtlinien eingeschränkt werden sollte, insbesondere auf Systemen mit hohem Wert. Das Durchsetzen strengerer Kontrollen bei Fernunterstützungstools kann helfen, die Angriffsfläche zu reduzieren. Es wird auch empfohlen, die Anwendungsprotokolle kontinuierlich auf unbefugte Übergänge in den Vollzugriffsmodus zu überwachen.

Reaktion

Wenn böswilliger Gebrauch bestätigt wird, beenden Sie die Quick Assist-Sitzung sofort und isolieren Sie den betroffenen Host. Setzen Sie alle Anmeldeinformationen zurück, die während der interaktiven Sitzung freigelegt worden sein könnten. Bewahren Sie Anwendungsprotokolle und zugehörige Sitzungstelemetrie zur forensischen Analyse auf, bevor Sie mit der Behebung beginnen.

Angriffsfluss

Wir aktualisieren diesen Teil noch. Melden Sie sich an, um benachrichtigt zu werden

Benachrichtige mich

Simulationsausführung

Voraussetzung: Die Telemetrie- und Basislinien-Vorprüfung muss bestanden haben.

Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der gegnerischen Technik (TTP), die dazu entworfen ist, die Erkennungsregel auszulösen. Die Befehle und Erzählungen MÜSSEN die identifizierten TTPs direkt widerspiegeln und darauf abzielen, die genau erwartete Telemetrie zu erzeugen, wie sie von der Erkennungslogik erwartet wird. Abstrakte oder nicht verwandte Beispiele führen zu Fehldiagnosen.

  • Angriffserzählung & Befehle: Ein Angreifer initiiert einen Social-Engineering-Angriff, überzeugt einen Benutzer, Microsoft Quick Assist zu öffnen. Sobald die Verbindung hergestellt ist, versucht der Angreifer, seine Privilegien in der Sitzung zu eskalieren, indem er den Modus „Vollzugriff“ anfordert. Diese Aktion löst ein bestimmtes Ereignis beim Quick Assist-Anbieter im Windows-Anwendungsprotokoll aus, das die Zeichenfolge FullControl*setsharingmode*enthält. Diese Simulation umgeht die tatsächliche UI-Interaktion, indem sie das spezifische Ereignis manuell in das Windows-Anwendungsprotokoll injiziert, um zu validieren, dass die Erkennungslogik den param1 Feld richtig analysiert.

  • Regressionstestskript:

    # Simulationsskript: Manuell das Quick Assist-Ereignis injizieren, um die Detektion auszulösen
    # Hinweis: Dies erfordert Administratorrechte, um auf das Anwendungsprotokoll zu schreiben.
    
    $provider = "Quick Assist"
    $eventId = 0
    $param1 = "FullControl*setsharingmode* - Benutzer: Angreifer"
    
    # Wir verwenden die EventCreate-Dienstprogramme oder .NET, um das Anbieterereignis zu simulieren
    # Da wir keinen bestimmten Anbieter über CLI ohne Treiber leicht fälschen können, 
    # simulieren wir die von der Regel erwartete Protokolleintragstruktur.
    
    Write-EventLog -LogName Application -Source "Quick Assist" -EventId $eventId -EntryType Information -Message "Modus geändert: $param1"
    
    Write-Host "Simulationsereignis in das Anwendungsprotokoll injiziert."
  • Bereinigungskommandos:

    # Keine direkte Bereinigung der Ereignisprotokolle erforderlich, aber in einer realen Umgebung, 
    # würde man das spezifische Ereignis falls möglich löschen oder einfach die Zeit der Injektion vermerken.
    Write-Host "Simulation abgeschlossen. Es wurden keine Systemänderungen an der OS-Konfiguration vorgenommen."