Folgen 
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
Der Artikel erklärt, wie Angreifer auf Windows-Persistenz zugreifen können, indem der W32Time-Dienst missbraucht wird. Durch die Registrierung einer bösartigen DLL als Zeitgeber über eine Registry-Änderung wird die Nutzlast automatisch geladen, wann immer der Dienst startet. Diese Methode verbirgt bösartige Ausführung hinter einer legitimen Windows-Komponente, wodurch der Angreifer seine Persistenzaktivität in das normale Systemverhalten einfügen kann.
Untersuchung
Der Bericht konzentriert sich nicht auf ein spezifisches Malware-Beispiel oder eine Einbruchskampagne. Stattdessen wird der technische Prozess beschrieben, den ein Angreifer nutzen könnte, um die W32Time-Diensteinstellungen in der Registry zu ändern und das Laden einer bösartigen DLL zu erzwingen. Er hebt außerdem die relevante Befehlssyntax und den benötigten Registry-Pfad hervor, um den Missbrauch zu implementieren.
Abschwächung
Organisationen sollten Gruppenrichtlinien verwenden, um die W32Time-Dienstdaten und zugehörige Registrierungsschlüssel vor unbefugten Änderungen zu schützen. Schreibzugriff auf die Registry sollte nur vertrauenswürdigen Administratoren erlaubt werden, und Verteidiger sollten Änderungen am TimeProviders-Unterschlüssel überwachen. Dateiintegritätsprüfungen für W32Time-DLLs und strenge Mindestprivilegienkontrollen für das Lokale Dienstkonto können das Risiko weiter verringern.
Reaktion
Erkennungsteams sollten bei der Erstellung oder Änderung von Unterschlüsseln unterhalb des W32TimeTimeProviders-Registrierungspfads warnen. Registrierungswerte, die auf unbekannte DLLs verweisen, sollten sofort untersucht werden. Diese Signale sollten mit Prozessaktivitäten korreliert werden, bei denen w32tm.exe eine nicht standardmäßige DLL lädt, zusammen mit jeglichem damit verbundenen Persistenzverhalten.
Angriffsstrom
Wir aktualisieren diesen Teil noch. Melden Sie sich an, um benachrichtigt zu werden
Benachrichtigen Sie michErkennungen
Möglicher Missbrauch von TimeProviders (über registry_event)
Ansehen
Verdächtige Dateierweiterung zu Run-Schlüsseln hinzugefügt [ASEPs] (via registry_event)
Ansehen
Mögliche Persistenzpunkte [ASEPs – Software/NTUSER Hive] (via cmdline)
Ansehen
Möglicher Missbrauch von TimeProviders Versuch (via cmdline)
Ansehen
Mögliche Persistenzpunkte [ASEPs – Software/NTUSER Hive] (via registry_event)
Ansehen
IOCs (E-Mails) zur Erkennung: T1547.003 Time Providers erklärt in MITRE ATT&CK
Ansehen
Erkennung von Registry-Manipulation für bösartige Zeitgeber-DLL [Windows Registry Event]
Ansehen
Simulation Ausführung
Voraussetzung: Die Telemetrie- und Basislinien-Vorabprüfung muss bestanden sein.
-
Angriffserzählung & Befehle:
Ein Angreifer mit lokalen Administratorrechten möchte eine Persistenz, die Systemneustarts übersteht und schwer zu erkennen ist. Sie entscheiden sich, den Windows-Zeitdienst (W32Time) zu missbrauchen, indem sie eine bösartige DLL als Zeitgeberregistrieren. Diese Technik nutzt das legitimeDienstprogramm (Living-off-the-Land) reg.exe, um den Registrierungsschlüssel zu ändernHKLMSystemCurrentControlSetServicesW32TimeTimeProviders<CustomProvider>HKLMSystemCurrentControlSetServicesW32TimeTimeProviders<CustomProvider>. Sobald der Dienst die DLL beim Start lädt, erhält der Angreifer Codeausführung mit SYSTEM-Rechten. -
Regressions-Testskript:
# ------------------------------------------------- # Bösartige DLL als W32Time-Zeitanbieter registrieren # ------------------------------------------------- $providerName = "MaliciousTimeProvider" $dllPath = "C:TempevilTime.dll" # 1. Erstellen Sie einen Dummy-Bösartige-DLL-Platzhalter (nur zum Test) New-Item -Path $dllPath -ItemType File -Force | Out-Null # 2. Fügen Sie den Zeitanbieter-Registrierungsschlüssel hinzu $regPath = "HKLMSystemCurrentControlSetServicesW32TimeTimeProviders$providerName" reg add "HKLMSystemCurrentControlSetServicesW32TimeTimeProviders$providerName" /v "Dll" /t REG_SZ /d $dllPath /f # 3. Aktivieren Sie den Anbieter (Wert Enabled = 1) reg add "HKLMSystemCurrentControlSetServicesW32TimeTimeProviders$providerName" /v "Enabled" /t REG_DWORD /d 1 /f Write-Host "Bösartiger Zeitanbieter registriert. Überprüfen Sie SIEM auf Erkennung." -
Bereinigungsbefehle:
# ------------------------------------------------- # Bösartige Zeitanbieter-Registrierung entfernen # ------------------------------------------------- $providerName = "MaliciousTimeProvider" $regPath = "HKLMSystemCurrentControlSetServicesW32TimeTimeProviders$providerName" # Löschen Sie den Anbieter-Schlüssel rekursiv reg delete "HKLMSystemCurrentControlSetServicesW32TimeTimeProviders$providerName" /f # Entfernen Sie die Dummy-DLL-Datei Remove-Item "C:TempevilTime.dll" -Force -ErrorAction SilentlyContinue Write-Host "Bereinigung abgeschlossen."