Assistance Rapide – Mode Contrôle Total Activé
Detection stack
- AIDR
- Alert
- ETL
- Query
Résumé
Les acteurs de la menace abusent de Microsoft Quick Assist pour soutenir des stratagèmes d’ingénierie sociale et des opérations de faux service d’assistance. Lorsque le mode de partage « Contrôle total » est activé, l’attaquant peut obtenir un accès interactif complet à l’appareil de la victime. Cette technique est souvent utilisée comme une première étape dans les incidents de ransomware et d’autres formes d’accès à distance non autorisé.
Enquête
Les enquêteurs devraient examiner les journaux d’applications Windows liés au fournisseur Quick Assist, en prêtant une attention particulière à setsharingmode les actions contenant ContrôleTotal comme paramètres. Ces événements doivent être corrélés avec QuickAssist.exe la télémétrie du processus, y compris les processus parents et les détails de la ligne de commande. Il est également important de confirmer si la session correspond à une demande d’assistance informatique légitime et à du personnel de support autorisé.
Atténuation
Les organisations devraient évaluer si Quick Assist doit rester activé dans l’environnement ou s’il doit être restreint par la politique, en particulier sur les systèmes de grande valeur. Appliquer des contrôles plus stricts sur les outils d’assistance à distance peut aider à réduire la surface d’attaque. Il est également recommandé de surveiller en continu les journaux d’applications pour les transitions non autorisées en mode de partage complet.
Réponse
Si une utilisation malveillante est confirmée, terminez immédiatement la session Quick Assist et isolez l’hôte affecté. Réinitialisez toutes les identifiants qui auraient pu être exposées pendant la session interactive. Conservez les journaux d’applications et la télémétrie de session associée pour une analyse légale avant de commencer la remédiation.
Flux d’Attaque
Nous mettons encore à jour cette partie. Inscrivez-vous pour être notifié
Notifiez-moiExécution de la Simulation
Préalable : Le Contrôle Pré-vol de Télémétrie & Base doit avoir réussi.
Raisonnement : Cette section détaille l’exécution précise de la technique de l’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et le récit DOIVENT refléter directement les TTPs identifiés et viser à générer la télémétrie exacte attendue par la logique de détection. Des exemples abstraits ou non liés entraîneront un diagnostic erroné.
-
Récit & Commandes d’Attaque : Un adversaire lance une attaque d’ingénierie sociale, convainquant un utilisateur d’ouvrir Microsoft Quick Assist. Une fois la connexion établie, l’adversaire tente d’escalader ses privilèges au sein de la session en demandant le mode « Contrôle total ». Cette action déclenche un événement spécifique au sein du fournisseur Quick Assist dans le journal d’applications Windows, contenant la chaîne
ContrôleTotal*setsharingmode*. Cette simulation contourne l’interaction réelle de l’interface utilisateur en injectant manuellement l’événement spécifique dans le journal d’applications Windows pour vérifier que la logique de détection analyse correctement le champparam1. -
Script de Test de Régression :
# Script de Simulation : Injectez manuellement l'événement Quick Assist pour déclencher la détection # Remarque : Cela nécessite des privilèges administratifs pour écrire dans le journal d'application. $provider = "Quick Assist" $eventId = 0 $param1 = "FullControl*setsharingmode* - Utilisateur : Attacker" # Nous utilisons l'utilitaire EventCreate ou .NET pour simuler l'événement du fournisseur # Comme nous ne pouvons pas facilement falsifier un fournisseur spécifique via CLI sans un driver, # nous simulons la structure d'entrée de journal attendue par la règle. Write-EventLog -LogName Application -Source "Quick Assist" -EventId $eventId -EntryType Information -Message "Mode changed: $param1" Write-Host "Événement de simulation injecté dans le journal d'application." -
Commandes de Nettoyage :
# Aucun nettoyage direct n'est requis pour les journaux d'événements, mais dans un environnement réel, # on effacerait l'événement spécifique si possible, ou simplement noterait l'heure de l'injection. Write-Host "Simulation complète. Aucun changement de configuration du système n'a été effectué."