ATT&CK之控制面板项目

ATT&CK之控制面板项目

Windows控制面板是允许用户查看和调整计算机设置的实用程序。控制面板项目是注册的可执行文件(.exe)或控制面板(.cpl)文件,后者实际上是重命名的动态链接库(.dll)文件,可导出CPlApplet函数。

 

定义

       “控制面板”项目可以直接从命令行执行,也可以从应用程序编程接口(API)调用、通过编程的方式执行,或者只需双击文件即可。

        为了易于使用,“控制面板”项通常包括了注册并加载到“控制面板”中后可供用户使用的图形菜单。

ATT&CK之控制面板项目

 

攻击方法

        对手可以使用“控制面板”项目作为有效载荷来执行任意命令。恶意控制面板项目可以通过鱼叉式附件广告交付,也可以作为多阶段恶意软件的一部分执行。控制面板项目,特别是CPL文件,也可能会绕过应用程序、文件扩展名白名单。

 

程序示例

ATT&CK之控制面板项目

点击👆图片查看大图

 

缓解方法

名称

描述

执行预

防措施

通过使用应用程序白名单工具(例如Windows Defender应用程序控制、或软件限制策略)来识别和阻止潜在的恶意和未知.cpl文件

限制文件和目录权限

将控制面板项目的存储和执行限制为受保护的目录(例如)C:Windows,而不是用户目录

 

检测方法

        列出控制面板项目清单以识别系统中未注册以及潜在的恶意文件:

  • 可执行格式注册控制面板项将具有全局唯一标识符(GUID)和在注册的注册表项HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerControlPanelNameSpace和HKEY_CLASSES_ROOTCLSID{{GUID}}。这些条目可能包含有关“控制面板”项目的信息,例如其显示名称,本地文件的路径以及在“控制面板”中打开时执行的命令。

  • 存储在System32目录中的CPL格式注册的控制面板项目将自动显示在控制面板中。其他控制面板项目将在Cpls和的Extended Properties注册表项中具有注册条目HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionControl Panel。这些条目可能包括诸如GUID,本地文件的路径以及用于以编程方式( WinExec(“c:windowssystem32control.exe {{Canonical_Name}}”, SW_NORMAL);)或从命令行(control.exe /name {{Canonical_Name}})启动文件的规范名称之类的信息。

  • 某些控制面板项目可以通过注册的Shell扩展名扩展,HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionControls Folder{{name}}ShellexPropertySheetHandlers其中{{name}}是系统项目的预定义名称。

        分析新的“控制面板”项目以及磁盘上存在的恶意内容。可执行文件格式和CPL格式都是兼容的便携式可执行(PE)图像,可以使用传统的工具和方法以及未使用的逆向工程技术对其进行检查。

 

关于我们

        云纷科技自成立以来,将“安全运营中心(SOC)”分层分解,以更灵活的模块化方式交付“下一代安全运营服务”,高效整合人、技术和流程,为不同的企业客户提供符合现状和中远期发展的安全运营能力。同时,以十年安全管理经验为依托,我们的安全托管服务(MSS)可以为企业提供7*24小时全天候安全保障,全面提高企业安全抵御能力,为抵抗威胁建立可靠屏障。

        云纷希望在为客户建立运营体系的同时,结合自身对于安全的理解和知识,协同利用开发能力、开发并调用各类自动以及半自动化工具,为客户提供最切合实际的安全运营服务,最终帮助用户清晰定位威胁、降低风险,提高整体安全水平。

 

**参考来源:ATT&CK,胖头鱼编译,欢迎转载,转载请注明出处,非常感谢~~

FatFish

评论已关闭。
Translate »