Modo de Controle Total de Assistência Rápida Ativado
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
Atores de ameaça estão abusando do Microsoft Quick Assist para apoiar esquemas de engenharia social e operações falsas de help desk. Quando o modo de compartilhamento Controlo Total está ativado, o atacante pode obter acesso interativo completo ao dispositivo da vítima. Esta técnica é frequentemente usada como um passo inicial em incidentes de ransomware e outras formas de acesso remoto não autorizado.
Investigação
Os investigadores devem revisar os logs de Aplicação do Windows relacionados ao provedor Quick Assist, com atenção especial para setsharingmode ações contendo FullControl parâmetros. Esses eventos devem ser correlacionados com telemetria do QuickAssist.exe , incluindo processos parentais e detalhes da linha de comando. É também importante confirmar se a sessão corresponde a uma solicitação legítima de suporte de TI e pessoal de suporte autorizado.
Mitigação
As organizações devem avaliar se o Quick Assist precisa permanecer habilitado em todo o ambiente ou se deve ser restrito por política, especialmente em sistemas de alto valor. Aplicar controles mais rigorosos nas ferramentas de assistência remota pode ajudar a reduzir a superfície de ataque. Recomenda-se o monitoramento contínuo dos registros de aplicação para transições não autorizadas para o modo de compartilhamento de controle total.
Resposta
Se o uso malicioso for confirmado, termine imediatamente a sessão do Quick Assist e isole o host afetado. Redefina quaisquer credenciais que possam ter sido expostas durante a sessão interativa. Preserve os logs de aplicação e a telemetria de sessão relacionada para análise forense antes de iniciar a remediação.
Fluxo de Ataque
Ainda estamos atualizando esta parte. Inscreva-se para ser notificado
Notifique-meExecução da Simulação
Pré-requisito: A Verificação de Telemetria & Linha de Base introdutória deve ter passado.
Justificativa: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a um diagnóstico incorreto.
-
Narrativa do Ataque & Comandos: Um adversário inicia um ataque de engenharia social, convencendo um usuário a abrir o Microsoft Quick Assist. Uma vez estabelecida a conexão, o adversário tenta escalar seus privilégios na sessão solicitando o modo “Controlo Total”. Esta ação aciona um evento específico no provedor Quick Assist no log de Aplicação do Windows, contendo a string
FullControl*setsharingmode*. Esta simulação contorna a interação real da interface do usuário injetando manualmente o evento específico no log da Aplicação do Windows para validar se a lógica de detecção analisa corretamente ocampo param1. -
Script de Teste de Regressão:
# Script de Simulação: Injetar manualmente o evento Quick Assist para acionar a detecção # Nota: Isso requer privilégios administrativos para escrever no log de Aplicação. $provider = "Quick Assist" $eventId = 0 $param1 = "FullControl*setsharingmode* - Usuário: Atacante" # Usamos a utilidade EventCreate ou .NET para simular o evento do provedor # Como não podemos facilmente falsificar um provedor específico via CLI sem um driver, # simulamos a estrutura de entrada de log esperada pela regra. Write-EventLog -LogName Application -Source "Quick Assist" -EventId $eventId -EntryType Information -Message "Modo alterado: $param1" Write-Host "Evento de simulação injetado no Log de Aplicação." -
Comandos de Limpeza:
# Nenhuma limpeza direta é necessária para os logs de eventos, mas em um ambiente real, # alguém limparia o evento específico se possível, ou simplesmente notaria o tempo de injeção. Write-Host "Simulação concluída. Nenhuma alteração no sistema foi feita na configuração do OS."