Segui 
Detection stack
- AIDR
- Alert
- ETL
- Query
Riassunto
L’articolo spiega come gli attaccanti possano stabilire la persistenza su Windows abusando del servizio W32Time. Registrando una DLL dannosa come fornitore di tempo attraverso una modifica al registro, il payload viene caricato automaticamente ogni volta che il servizio si avvia. Questo metodo nasconde l’esecuzione dannosa dietro a un componente legittimo di Windows, aiutando l’attaccante a mescolare l’attività di persistenza nel comportamento normale del sistema.
Indagine
Il rapporto non si concentra su un campione specifico di malware o su una campagna di intrusione. Invece, illustra il processo tecnico che un attaccante potrebbe utilizzare per modificare le impostazioni del registro del servizio W32Time e forzare il caricamento di una DLL canaglia. Evidenzia inoltre la sintassi dei comandi pertinenti e il percorso del registro necessario per implementare l’abuso.
Mitigazione
Le organizzazioni dovrebbero utilizzare Criteri di Gruppo per proteggere i file del servizio W32Time e le chiavi di registro correlate da modifiche non autorizzate. L’accesso in scrittura al registro dovrebbe essere limitato agli amministratori di fiducia, e i difensori dovrebbero monitorare le modifiche alla sottochiave TimeProviders. I controlli di integrità dei file per le DLL di W32Time e i rigorosi controlli del minimo privilegio per l’account Servizio Locale possono ulteriormente ridurre il rischio.
Risposta
I team di rilevamento dovrebbero generare avvisi sulla creazione o modifica delle sottochiavi al di sotto del percorso del registro W32TimeTimeProviders. I valori del registro che fanno riferimento a DLL non familiari dovrebbero essere indagati immediatamente. Questi segnali dovrebbero essere correlati con l’attività del processo che coinvolge w32tm.exe che carica una DLL non standard, insieme a qualsiasi comportamento persistente correlato.
Flusso di Attacco
Stiamo ancora aggiornando questa parte. Iscriviti per ricevere notifiche
NotificamiRilevamenti
Possibile Abuso di TimeProviders (via registry_event)
Visualizza
Estensione File Sospetta Aggiunta alle Chiavi di Esecuzione [ASEP] (via registry_event)
Visualizza
Possibili Punti di Persistenza [ASEP – Software/NTUSER Hive] (via cmdline)
Visualizza
Possibile Tentativo di Abuso di TimeProviders (via cmdline)
Visualizza
Possibili Punti di Persistenza [ASEP – Software/NTUSER Hive] (via registry_event)
Visualizza
IOC (Email) da rilevare: T1547.003 Time Providers in MITRE ATT&CK Spiegato
Visualizza
Rileva Manipolazioni del Registro per una DLL di Fornitore di Tempo Dannosa [Evento del Registro di Windows]
Visualizza
Esecuzione della Simulazione
Prerequisito: Il Controllo preliminare di Telemetria & Baseline deve essere riuscito.
-
Narrazione dell’Attacco & Comandi:
Un avversario con diritti di amministratore locale desidera una persistenza che sopravviva ai riavvii del sistema e sia difficile da rilevare. Sceglie di abusare del Servizio Ora di Windows (W32Time) registrando una DLL dannosa come fornitore di tempo. Questa tecnica sfrutta l’utilità legittimareg.exe(living‑off‑the‑land) per modificare la chiave di registroHKLMSystemCurrentControlSetServicesW32TimeTimeProviders<CustomProvider>. Una volta che il servizio carica la DLL all’avvio, l’attaccante ottiene l’esecuzione del codice con privilegi di SISTEMA. -
Script di Test di Regressione:
# ------------------------------------------------- # Registra una DLL dannosa come Fornitore di Tempo W32Time # ------------------------------------------------- $providerName = "MaliciousTimeProvider" $dllPath = "C:TempevilTime.dll" # 1. Crea un segnaposto di DLL dannosa (solo per test) New-Item -Path $dllPath -ItemType File -Force | Out-Null # 2. Aggiungi la chiave di registro del fornitore di tempo $regPath = "HKLMSystemCurrentControlSetServicesW32TimeTimeProviders$providerName" reg add "HKLMSystemCurrentControlSetServicesW32TimeTimeProviders$providerName" /v "Dll" /t REG_SZ /d $dllPath /f # 3. Abilita il fornitore (valore Enabled = 1) reg add "HKLMSystemCurrentControlSetServicesW32TimeTimeProviders$providerName" /v "Enabled" /t REG_DWORD /d 1 /f Write-Host "Fornitore di tempo dannoso registrato. Controlla SIEM per il rilevamento." -
Comandi di Pulizia:
# ------------------------------------------------- # Rimuovi la registrazione del fornitore di tempo dannoso # ------------------------------------------------- $providerName = "MaliciousTimeProvider" $regPath = "HKLMSystemCurrentControlSetServicesW32TimeTimeProviders$providerName" # Elimina ricorsivamente la chiave del fornitore reg delete "HKLMSystemCurrentControlSetServicesW32TimeTimeProviders$providerName" /f # Rimuovi il file DLL falso Remove-Item "C:TempevilTime.dll" -Force -ErrorAction SilentlyContinue Write-Host "Pulizia completata."