Modo de Control Total de Quick Assist Activado
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumen
Los actores de amenazas están abusando de Microsoft Quick Assist para apoyar esquemas de ingeniería social y operaciones de soporte técnico falsas. Cuando el modo de compartir control total está habilitado, el atacante puede obtener acceso interactivo completo al dispositivo de la víctima. Esta técnica se utiliza a menudo como un paso inicial en incidentes de ransomware y otras formas de acceso remoto no autorizado.
Investigación
Los investigadores deben revisar los registros de aplicaciones de Windows relacionados con el proveedor de Quick Assist, prestando especial atención a setsharingmode acciones que contengan FullControl parámetros. Estos eventos deben correlacionarse con QuickAssist.exe telemetría del proceso, incluidos procesos principales y detalles de la línea de comandos. También es importante confirmar si la sesión coincide con una solicitud legítima de soporte de TI y personal de soporte autorizado.
Mitigación
Las organizaciones deben evaluar si Quick Assist necesita permanecer habilitado en todo el entorno o si debe restringirse mediante políticas, especialmente en sistemas de alto valor. Implementar controles más estrictos sobre las herramientas de asistencia remota puede ayudar a reducir la superficie de ataque. También se recomienda la monitorización continua de los registros de aplicaciones para detectar transiciones no autorizadas al modo de compartir control total.
Respuesta
Si se confirma el uso malicioso, termine la sesión de Quick Assist inmediatamente y aísle el host afectado. Restablezca cualquier credencial que pueda haber sido expuesta durante la sesión interactiva. Preserve los registros de aplicaciones y la telemetría de la sesión relacionada para el análisis forense antes de comenzar la remediación.
Flujo de Ataque
Todavía estamos actualizando esta parte. Regístrese para recibir notificaciones
NotifícameEjecución de Simulación
Prerequisito: La verificación previa de Telemetría y Línea Base debe haber pasado.
Justificación: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente los TTP identificados y apuntar a generar la telemetría exacta esperada por la lógica de detección. Ejemplos abstractos o no relacionados llevarán a un diagnóstico erróneo.
-
Narrativa y Comandos del Ataque: Un adversario inicia un ataque de ingeniería social, convenciendo a un usuario de abrir Microsoft Quick Assist. Una vez establecida la conexión, el adversario intenta escalar sus privilegios dentro de la sesión solicitando el modo de «Control Total». Esta acción desencadena un evento específico dentro del proveedor de Quick Assist en el registro de aplicaciones de Windows, que contiene la cadena
FullControl*setsharingmode*. Esta simulación omite la interacción real de la interfaz de usuario al inyectar manualmente el evento específico en el registro de aplicaciones de Windows para validar que la lógica de detección interpreta correctamente el campoparam1. -
Script de Prueba de Regresión:
# Script de Simulación: Inyectar manualmente el evento de Quick Assist para activar la detección # Nota: Esto requiere privilegios administrativos para escribir en el registro de aplicaciones. $provider = "Quick Assist" $eventId = 0 $param1 = "FullControl*setsharingmode* - Usuario: Atacante" # Utilizamos la utilidad EventCreate o .NET para simular el evento del proveedor # Dado que no podemos falsificar fácilmente un proveedor específico a través de CLI sin un controlador, # simulamos la estructura de entrada de registro esperada por la regla. Write-EventLog -LogName Application -Source "Quick Assist" -EventId $eventId -EntryType Information -Message "Modo cambiado: $param1" Write-Host "Evento de simulación inyectado en el registro de aplicaciones." -
Comandos de Limpieza:
# No se requiere limpieza directa para los registros de eventos, pero en un entorno real, # uno limpiaría el evento específico si es posible, o simplemente anotaría la hora de la inyección. Write-Host "Simulación completa. No se realizaron cambios en la configuración del sistema operativo."