クイックアシスト フルコントロールモードが有効になりました
Detection stack
- AIDR
- Alert
- ETL
- Query
概要
脅威アクターはMicrosoft Quick Assistを悪用して、ソーシャルエンジニアリングの手口や偽のヘルプデスク操作を支援しています。完全制御共有モードが有効になると、攻撃者は被害者のデバイスに対して完全な対話型アクセスを得ることができます。この手法は、ランサムウェア事件や他の不正なリモートアクセス形式の初期段階でよく使用されます。
調査
調査担当者は、Quick Assistプロバイダーに関連するWindowsアプリケーションログを確認する必要があり、特に setsharingmode を含むアクションに注意します。 FullControl パラメータ。これらのイベントは、 QuickAssist.exe プロセステレメトリ(親プロセスやコマンドラインの詳細を含む)と相関する必要があります。また、セッションが正式なITサポートの要求であり、認可されたサポート担当者に一致するかどうかを確認することも重要です。
軽減措置
組織は、Quick Assistを環境全体で有効にする必要があるかどうか評価するべきであり、特に価値の高いシステムではポリシーで制限するべきです。リモートアシスタンスツールに対するより厳格な制御を実施することで、攻撃範囲を縮小できます。完全制御共有モードへの不正な移行をアプリケーションログで継続的に監視することも推奨されます。
対応
悪意のある使用が確認された場合、直ちにQuick Assistセッションを終了し、影響を受けたホストを隔離します。インタラクティブセッション中に露出した可能性のある認証情報をリセットします。復旧を開始する前に、アプリケーションログや関連セッションのテレメトリを法医学分析のために保存します。
攻撃フロー
この部分はまだ更新中です。通知を受け取るために登録してください
通知するシミュレーションの実行
前提条件: テレメトリとベースラインの事前確認が完了していること。
根拠: このセクションは、検出ルールを引き起こすために設計された敵技術の正確な実行を詳細に説明します。コマンドと記述は、特定されたTTP(技術・戦術・手順)を直接反映し、検出ロジックによって期待される正確なテレメトリを生成することを目的としています。抽象的または無関係な例は、誤診に繋がります。
-
攻撃の物語とコマンド: 敵対者は、ユーザーをMicrosoft Quick Assistを開くように説得する社会工学的攻撃を開始します。接続が確立されると、対話者は”Full Control”モードを要求してセッション内で特権をエスカレートしようとします。このアクションは、Windowsアプリケーションログ内でQuick Assistプロバイダーに特定のイベントをトリガーし、”
FullControl*setsharingmode*“という文字列を含みます。このシミュレーションは実際のUI相互作用をバイパスし、特定のイベントをWindowsアプリケーションログに手動で挿入して、検出ロジックが正しくparam1フィールドを解析するかどうかを検証します。 -
回帰テストスクリプト:
# シミュレーションスクリプト: Quick Assistイベントを手動で挿入し、検出をトリガーする # 注意: アプリケーションログに書き込むためには管理者権限が必要です。 $provider = "Quick Assist" $eventId = 0 $param1 = "FullControl*setsharingmode* - User: Attacker" # EventCreateユーティリティまたは.NETを使用してプロバイダーイベントをシミュレートします # 特定のプロバイダーをCLI経由で簡単に偽装できないので、 # ルールで期待されるログエントリ構造をシミュレートします。 Write-EventLog -LogName Application -Source "Quick Assist" -EventId $eventId -EntryType Information -Message "モードが変更されました: $param1" Write-Host "シミュレーションイベントをアプリケーションログに挿入しました。" -
クリーンアップコマンド:
# イベントログの直接的なクリーンアップは不要ですが、実際の環境では、 # 可能であれば特定のイベントをクリアするか、単にインジェクション時刻を記録します。 Write-Host "シミュレーション完了。OS構成にシステム変更は加えられていません。"