SOC Prime Bias: Medium

04 Jul 2026 06:57 UTC

Увімкнено режим повного керування Quick Assist

Author Photo
SOC Prime Team linkedin icon Стежити
Увімкнено режим повного керування Quick Assist
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Резюме

Зловмисники використовують Microsoft Quick Assist для підтримки схем соціальної інженерії та фальшивих служб підтримки. Коли режим обміну «Повний контроль» увімкнено, атакуючий може отримати повний інтерактивний доступ до пристрою жертви. Ця техніка часто використовується як початковий крок у випадках програм-вимагачів та інших формах несанкціонованого віддаленого доступу.

Розслідування

Слідчі повинні переглядати журнали додатків Windows, пов’язаних із постачальником Quick Assist, з особливою увагою до setsharingmode дії, які містять FullControl параметри. Ці події повинні корелюватися з QuickAssist.exe телеметрією процесу, включаючи батьківські процеси та деталі командного рядка. Важливо також підтвердити, чи сесія відповідає законному запиту на ІТ підтримку та авторизованому персоналу підтримки.

Захист

Організації повинні оцінити, чи потрібно залишати Quick Assist увімкненим у всьому середовищі, чи його слід обмежити політикою, особливо на системах з високим пріоритетом. Запровадження більш суворого контролю над інструментами віддаленої допомоги може допомогти зменшити площу атаки. Також рекомендується постійно моніторити журнали застосунків на предмет несанкціонованих переходів у режим повного контролю.

Відповідь

Якщо підтверджено зловмисне використання, негайно завершити сесію Quick Assist і ізолювати уражений хост. Перезадайте будь-які облікові дані, які могли бути скомпрометовані під час інтерактивної сесії. Збережіть журнали додатків та пов’язану телеметрію сеансів для судово-медичного аналізу перед початком відновлення.

Хід атаки

Ми ще оновлюємо цю частину. Підпишіться, щоб отримати сповіщення

Сповістити мене

Виконання моделювання

Попередня умова: передстартова перевірка телеметрії та базових показників повинна бути пройдена.

Аргументація: Цей розділ детально описує точне виконання техніки суперника (TTP), призначеної для виклику правила виявлення. Команди та розповідь МАЮТЬ точно відображати виявлені TTP і мають на меті створити очікувану телеметрію, визначену логікою виявлення. Абстрактні або непов’язані приклади приведуть до неправильної діагностики.

  • Сценарій атаки та команди: Суперник ініціює атаку соціальної інженерії, переконуючи користувача відкрити Microsoft Quick Assist. Після встановлення з’єднання суперник намагається підвищити свої привілеї в сесії, запрошуючи режим «Повний контроль». Ця дія викликає певну подію в постачальнику Quick Assist у журналі додатків Windows, що містить рядок FullControl*setsharingmode*. Це моделювання оминає фактичну взаємодію з інтерфейсом користувача, вручну вводячи певну подію в журнал додатків Windows, щоб підтвердити, що логіка виявлення правильно аналізує param1 поле.

  • Скрипт регресійного тесту:

    # Скрипт симуляції: вручну ввести подію Quick Assist для виклику виявлення
    # Увага: Це вимагає адміністративних привілеїв для запису в журнал застосунків.
    
    $provider = "Quick Assist"
    $eventId = 0
    $param1 = "FullControl*setsharingmode* - User: Attacker"
    
    # Використовуємо утиліту EventCreate або .NET для симуляції події постачальника
    # Оскільки ми не можемо легко підробити певного постачальника через CLI без драйвера, 
    # ми симулюємо структуру запису журналу, очікувану правилом.
    
    Write-EventLog -LogName Application -Source "Quick Assist" -EventId $eventId -EntryType Information -Message "Mode changed: $param1"
    
    Write-Host "Симуляція події введена в журнал застосунків."
  • Команди очищення:

    # Немає прямої необхідності в очищенні журналів подій, але в реальному середовищі, 
    # можна було б очистити певну подію, якщо можливо, або просто зазначити час введення.
    Write-Host "Симуляція завершена. Жодні зміни системної конфігурації ОС не були виконані."