Seguir 
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
O artigo explica como atacantes podem estabelecer persistência no Windows abusando do serviço W32Time. Registrando uma DLL maliciosa como um provedor de tempo através de uma alteração no registro, o payload é carregado automaticamente sempre que o serviço é iniciado. Este método esconde a execução maliciosa por trás de um componente legítimo do Windows, ajudando o atacante a misturar a atividade de persistência no comportamento normal do sistema.
Investigação
O relatório não foca em uma amostra específica de malware ou campanha de intrusão. Em vez disso, percorre o processo técnico que um atacante poderia usar para alterar as configurações do registro do serviço W32Time e forçar o carregamento de uma DLL maliciosa. Também destaca a sintaxe de comando relevante e o caminho do registro necessário para implementar o abuso.
Mitigação
As organizações devem usar a Política de Grupo para proteger os arquivos do serviço W32Time e as chaves de registro relacionadas contra modificações não autorizadas. O acesso de gravação do registro deve ser limitado a administradores de confiança, e os defensores devem monitorar alterações na subchave TimeProviders. Verificações de integridade de arquivos para DLLs do W32Time e controles rigorosos de menor privilégio para a conta de Servidor Local podem reduzir ainda mais o risco.
Resposta
As equipes de detecção devem alertar sobre a criação ou modificação de subchaves abaixo do caminho do registro W32TimeTimeProviders. Valores de registro referenciando DLLs desconhecidas devem ser investigados imediatamente. Esses sinais devem ser correlacionados com a atividade do processo envolvendo o carregamento de uma DLL não padrão pelo w32tm.exe, juntamente com qualquer comportamento de persistência relacionado.
Fluxo de Ataque
Ainda estamos atualizando esta parte. Inscreva-se para ser notificado
Notifique-meDetecções
Possível Abuso de TimeProviders (via registry_event)
Ver
Extensão de Arquivo Suspeita Adicionada às Chaves de Execução [ASEPs] (via registry_event)
Ver
Possíveis Pontos de Persistência [ASEPs – Hive Software/NTUSER] (via cmdline)
Ver
Possível Tentativa de Abuso de TimeProviders (via cmdline)
Ver
Possíveis Pontos de Persistência [ASEPs – Hive Software/NTUSER] (via registry_event)
Ver
IOCs (Emails) para detectar: T1547.003 Provedores de Tempo no MITRE ATT&CK Explicado
Ver
Detectar Manipulação de Registro para DLL de Provedor de Tempo Malicioso [Evento de Registro do Windows]
Ver
Execução de Simulação
Pré-requisito: A Verificação de Pré-voo de Telemetria & Base deve ter passado.
-
Narrativa do Ataque & Comandos:
Um adversário com direitos de administrador local quer uma persistência que sobreviva a reinicializações do sistema e seja difícil de detectar. Eles escolhem abusar do Serviço de Horário do Windows (W32Time) registrando uma DLL maliciosa como um provedor de tempo. Esta técnica aproveita o legítimoutilitário reg.exe (living‑off‑the‑land) para modificar a chave de registroutility (living‑off‑the‑land) to modify the registry keyHKLMSystemCurrentControlSetServicesW32TimeTimeProviders<CustomProvider>. Uma vez que o serviço carrega a DLL na inicialização, o atacante ganha execução de código com privilégios SYSTEM. -
Script de Teste de Regressão:
# ------------------------------------------------- # Registrar DLL maliciosa como Provedor de Tempo do W32Time # ------------------------------------------------- $providerName = "MaliciousTimeProvider" $dllPath = "C:TempevilTime.dll" # 1. Criar um espaço reservado para DLL maliciosa fictícia (apenas para teste) New-Item -Path $dllPath -ItemType File -Force | Out-Null # 2. Adicionar a chave de registro do provedor de tempo $regPath = "HKLMSystemCurrentControlSetServicesW32TimeTimeProviders$providerName" reg add "HKLMSystemCurrentControlSetServicesW32TimeTimeProviders$providerName" /v "Dll" /t REG_SZ /d $dllPath /f # 3. Habilitar o provedor (valor Enabled = 1) reg add "HKLMSystemCurrentControlSetServicesW32TimeTimeProviders$providerName" /v "Enabled" /t REG_DWORD /d 1 /f Write-Host "Provedor de tempo malicioso registrado. Verifique o SIEM para detecção." -
Comandos de Limpeza:
# ------------------------------------------------- # Remover registro de provedor de tempo malicioso # ------------------------------------------------- $providerName = "MaliciousTimeProvider" $regPath = "HKLMSystemCurrentControlSetServicesW32TimeTimeProviders$providerName" # Excluir a chave do provedor de forma recursiva reg delete "HKLMSystemCurrentControlSetServicesW32TimeTimeProviders$providerName" /f # Remover o arquivo DLL fictício Remove-Item "C:TempevilTime.dll" -Force -ErrorAction SilentlyContinue Write-Host "Limpeza completa."