Modalità Controllo Completo di Quick Assist Abilitata
Detection stack
- AIDR
- Alert
- ETL
- Query
Sintesi
Gli attori delle minacce stanno abusando di Microsoft Quick Assist per supportare schemi di ingegneria sociale e operazioni di help desk falso. Quando la modalità di condivisione Controllo completo è abilitata, l’attaccante può ottenere l’accesso interattivo completo al dispositivo della vittima. Questa tecnica è spesso utilizzata come primo passo negli incidenti di ransomware e in altre forme di accesso remoto non autorizzato.
Indagine
Gli investigatori dovrebbero esaminare i registri delle applicazioni Windows relativi al provider Quick Assist, con particolare attenzione a setsharingmode azioni contenenti ControlloCompleto parametri. Questi eventi dovrebbero essere correlati con QuickAssist.exe telemetria del processo, inclusi processi parent e dettagli della riga di comando. È anche importante confermare se la sessione corrisponde a una richiesta di supporto IT legittima e a personale di supporto autorizzato.
Mitigazione
Le organizzazioni dovrebbero valutare se Quick Assist deve rimanere abilitato in tutto l’ambiente o se deve essere limitato da politiche, specialmente sui sistemi di alto valore. Applicare controlli più rigorosi sugli strumenti di assistenza remota può aiutare a ridurre la superficie di attacco. Si raccomanda anche il monitoraggio continuo dei registri delle applicazioni per le transizioni non autorizzate in modalità di condivisione controllo completo.
Risposta
Se viene confermato un uso malevolo, terminare immediatamente la sessione di Quick Assist e isolare l’host interessato. Ripristinare eventuali credenziali che potrebbero essere state esposte durante la sessione interattiva. Conservare i registri delle applicazioni e la telemetria della sessione correlata per l’analisi forense prima di iniziare la rimediazione.
Flusso di Attacco
Stiamo ancora aggiornando questa parte. Iscriviti per essere notificato
AvvisamiEsecuzione della Simulazione
Prerequisito: Il Controllo Pre-volo di Telemetria & Baseline deve essere superato.
Motivazione: Questa sezione dettaglia l’esecuzione precisa della tecnica dell’avversario (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrazione DEVONO riflettere direttamente i TTP identificati e mirano a generare la telemetria esatta prevista dalla logica di rilevamento. Esempi astratti o non correlati porteranno a una diagnosi errata.
-
Narrazione & Comandi di Attacco: Un avversario avvia un attacco di ingegneria sociale, convincendo un utente ad aprire Microsoft Quick Assist. Una volta stabilita la connessione, l’avversario tenta di scalare i propri privilegi all’interno della sessione richiedendo la modalità “Controllo Completo”. Questa azione attiva un evento specifico all’interno del provider Quick Assist nel registro delle applicazioni di Windows, contenente la stringa
FullControl*setsharingmode*. Questa simulazione bypassa l’interazione effettiva con l’interfaccia utente iniettando manualmente l’evento specifico nel registro delle applicazioni di Windows per convalidare che la logica di rilevamento analizzi correttamente ilparam1campo. -
Script di Test di Regressione:
# Script di Simulazione: Iniettare manualmente l'evento Quick Assist per attivare il rilevamento # Nota: Questo richiede privilegi amministrativi per scrivere nel registro delle applicazioni. $provider = "Quick Assist" $eventId = 0 $param1 = "FullControl*setsharingmode* - User: Attacker" # Usiamo l'utility EventCreate o .NET per simulare l'evento del provider # Poiché non possiamo facilmente simulare un provider specifico tramite CLI senza un driver, # simuliamo la struttura della voce di log prevista dalla regola. Write-EventLog -LogName Application -Source "Quick Assist" -EventId $eventId -EntryType Information -Message "Mode changed: $param1" Write-Host "Evento di simulazione iniettato nel registro delle applicazioni." -
Comandi di Pulizia:
# Non è richiesta alcuna pulizia diretta per i registri degli eventi, ma in un ambiente reale, # si cancellerebbe l'evento specifico se possibile, o si annoterebbe semplicemente l'ora dell'iniezione. Write-Host "Simulazione completa. Non sono state apportate modifiche alla configurazione del sistema operativo."