SOC Prime Bias: Médio

04 Jul 2026 06:57 UTC

Modo de Controle Total de Assistência Rápida Ativado

Author Photo
SOC Prime Team linkedin icon Seguir
Modo de Controle Total de Assistência Rápida Ativado
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumo

Atores de ameaça estão abusando do Microsoft Quick Assist para apoiar esquemas de engenharia social e operações falsas de help desk. Quando o modo de compartilhamento Controlo Total está ativado, o atacante pode obter acesso interativo completo ao dispositivo da vítima. Esta técnica é frequentemente usada como um passo inicial em incidentes de ransomware e outras formas de acesso remoto não autorizado.

Investigação

Os investigadores devem revisar os logs de Aplicação do Windows relacionados ao provedor Quick Assist, com atenção especial para setsharingmode ações contendo FullControl parâmetros. Esses eventos devem ser correlacionados com telemetria do QuickAssist.exe , incluindo processos parentais e detalhes da linha de comando. É também importante confirmar se a sessão corresponde a uma solicitação legítima de suporte de TI e pessoal de suporte autorizado.

Mitigação

As organizações devem avaliar se o Quick Assist precisa permanecer habilitado em todo o ambiente ou se deve ser restrito por política, especialmente em sistemas de alto valor. Aplicar controles mais rigorosos nas ferramentas de assistência remota pode ajudar a reduzir a superfície de ataque. Recomenda-se o monitoramento contínuo dos registros de aplicação para transições não autorizadas para o modo de compartilhamento de controle total.

Resposta

Se o uso malicioso for confirmado, termine imediatamente a sessão do Quick Assist e isole o host afetado. Redefina quaisquer credenciais que possam ter sido expostas durante a sessão interativa. Preserve os logs de aplicação e a telemetria de sessão relacionada para análise forense antes de iniciar a remediação.

Fluxo de Ataque

Ainda estamos atualizando esta parte. Inscreva-se para ser notificado

Notifique-me

Execução da Simulação

Pré-requisito: A Verificação de Telemetria & Linha de Base introdutória deve ter passado.

Justificativa: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a um diagnóstico incorreto.

  • Narrativa do Ataque & Comandos: Um adversário inicia um ataque de engenharia social, convencendo um usuário a abrir o Microsoft Quick Assist. Uma vez estabelecida a conexão, o adversário tenta escalar seus privilégios na sessão solicitando o modo “Controlo Total”. Esta ação aciona um evento específico no provedor Quick Assist no log de Aplicação do Windows, contendo a string FullControl*setsharingmode*. Esta simulação contorna a interação real da interface do usuário injetando manualmente o evento específico no log da Aplicação do Windows para validar se a lógica de detecção analisa corretamente o campo param1 .

  • Script de Teste de Regressão:

    # Script de Simulação: Injetar manualmente o evento Quick Assist para acionar a detecção
    # Nota: Isso requer privilégios administrativos para escrever no log de Aplicação.
    
    $provider = "Quick Assist"
    $eventId = 0
    $param1 = "FullControl*setsharingmode* - Usuário: Atacante"
    
    # Usamos a utilidade EventCreate ou .NET para simular o evento do provedor
    # Como não podemos facilmente falsificar um provedor específico via CLI sem um driver, 
    # simulamos a estrutura de entrada de log esperada pela regra.
    
    Write-EventLog -LogName Application -Source "Quick Assist" -EventId $eventId -EntryType Information -Message "Modo alterado: $param1"
    
    Write-Host "Evento de simulação injetado no Log de Aplicação."
  • Comandos de Limpeza:

    # Nenhuma limpeza direta é necessária para os logs de eventos, mas em um ambiente real, 
    # alguém limparia o evento específico se possível, ou simplesmente notaria o tempo de injeção.
    Write-Host "Simulação concluída. Nenhuma alteração no sistema foi feita na configuração do OS."