ATT&CK之CMSTP

ATT&CK之CMSTP

Microsoft连接管理器配置文件安装程序(CMSTP.exe)是用于安装连接管理器服务配置文件的命令行程序。

 

定义

       CMSTP.exe使用安装信息文件(INF)作为参数,并安装用于远程访问连接的服务配置文件。

ATT&CK之CMSTP

 

攻击过程

        攻击者可能会向CMSTP.exe提供感染了恶意命令的INF文件。与Regsvr32 /“ Squfullydoo” 相似,CMSTP.exe有可能会被滥用,因为它可以从远程服务器加载和执行DLL和/或COM脚本(SCT)。由于CMSTP.exe是合法的、经过签名的Microsoft应用程序,因此这个执行过程也可以绕过AppLocker以及其他防御白名单。

        另一种利用CMSTP.exe的方式是绕过用户帐户控制,并通过自动提升的COM界面从恶意INF执行任意命令。

 

程序示例

名称

描述

Cobalt Group

使用cmstp.exe 相关命令绕过AppLocker并启动恶意脚本*

MuddyWater

使用CMSTP.exe和恶意INF执行POWERSTATS有效负载

*该命令为:cmstp.exe /s /ns C:UsersADMINI~WAppDataLocalTempXKNqbpzl.txt

 

缓解方法

名称

描述

禁用或删除功能或程序

  在某些既定的环境中,CMSTP.exe可能并不是必需品(除非将其用于VPN的连接与安装)

积极预防

  如果既定的系统或网络不需要CMSTP.exe,则可以考虑使用配置为阻止CMSTP.exe执行的应用程序白名单来防止被对手滥用的可能性

 

检测方法

        可以使用进程监视来检测和分析CMSTP.exe的执行与参数。将CMSTP.exe的最近调用与已知的良好自变量以及已加载文件的先前历史进行比较,从而确定异常及潜在的对抗活动。

        Sysmon事件也可以用于识别CMSTP.exe的潜在问题。检测策略可能取决于不同的攻击程序,但潜在规则包括以下两点:

  • 要检测本地/远程有效负载的加载和执行——事件1(进程创建)(其中ParentImage包含CMSTP.exe)和/或事件3(网络连接),其中Image包含CMSTP.exe,且目标地址在外部。

  • 要通过自动提升的COM接口检测“Bypass User Account Control”,请执行以下操作:事件10(Process Access)(其中CallTrace包含CMLUA.dll)和/或事件12或13(Registry Event),其中TargetObject包含CMMGR32.exe。同时也需要监视其他一些事件,例如进程的创建(Sysmon事件1),这些事件涉及自动提升的CMSTP COM接口,例如CMSTPLUA(3E5FC7F9-9A51-4367-9063-A120244FBEC7)和CMLUAUTIL(3E000D72-A845-4CD9-BD83- 80C07C3B881F)。

 

关于我们

        云纷科技自成立以来,将“安全运营中心(SOC)”分层分解,以更灵活的模块化方式交付“下一代安全运营服务”,高效整合人、技术和流程,为不同的企业客户提供符合现状和中远期发展的安全运营能力。同时,以十年安全管理经验为依托,我们的安全托管服务(MSS)可以为企业提供7*24小时全天候安全保障,全面提高企业安全抵御能力,为抵抗威胁建立可靠屏障。

        云纷希望在为客户建立运营体系的同时,结合自身对于安全的理解和知识,协同利用开发能力、开发并调用各类自动以及半自动化工具,为客户提供最切合实际的安全运营服务,最终帮助用户清晰定位威胁、降低风险,提高整体安全水平。

**资料来源:ATT&CK,胖头鱼编译,转载请注明出处,感谢配合~

FatFish

评论已关闭。
Translate »