T1218-002-win-签名的二进制代理执行:控制面板
来自ATT&CK的描述
攻击者可能滥用control.exe代理恶意负载的执行。 Windows“控制面板”进程二进制文件(control.exe)处理“控制面板”项的执行,“控制面板”项是使用户可以查看和调整计算机设置的实用程序。
控制面板项目是注册的可执行文件(.exe)或控制面板(.cpl)文件,后者实际上是重命名的动态链接库(.dll)文件,它们导出CPlApplet函数。为了易于使用,“控制面板”项通常包括在注册并加载到“控制面板”中后可供用户使用的图形菜单。可以从命令行直接执行控制面板项目,可以通过应用程序编程接口(API)调用以编程方式执行,也可以直接双击文件来执行。
恶意控制面板项目可以通过网络钓鱼活动传递,也可以作为多阶段恶意软件的一部分执行。控制面板项目,尤其是CPL文件,也可能会绕过应用程序或文件扩展名允许列表。
攻击者还可能使用控制面板文件扩展名(.cpl)重命名恶意DLL文件(.dll),并将其注册到HKCU\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls。即使这些注册的DLL不符合CPL文件规范并且不导出CPlApplet函数,在执行“控制面板”时也会通过其DllEntryPoint加载并执行它们。不导出CPlApplet的CPL文件不能直接执行。
测试案例
Control.exe是微软Windows操作系统自带的程序。用于访问控制面板。这不是纯粹的系统程序,但是如果终止它,可能会导致不可知的问题。
暂无测试案例
检测日志
windows security
windows sysmon
测试复现
暂无
测试留痕
暂无
检测规则/思路
监视和分析与CPL文件相关的项目相关的活动,例如Windows Control Panel进程二进制文件(control.exe)以及shell32.dll中的Control_RunDLL和ControlRunDLLAsUser API函数。从命令行执行或单击时,在使用Rundll32调用CPL的API函数(例如:rundll32.exe shell32.dll,Control_RunDLL文件)之前,control.exe将执行CPL文件(例如:control.exe file.cpl).cpl)。仅使用后一个Rundll32命令就可以通过CPL API函数直接执行CPL文件,该命令可能会绕过control.exe的检测和/或执行过滤器。
splunk规则
index=windows source=”WinEventLog:Microsoft-Windows-Sysmon/Operational” (EventCode=1 Image=”\\control.exe” CommandLine=”.cpl*”) OR (EventCode=1 Image=”\\rundll32.exe” CommandLine =”shell32.dll,Control_RunDLL” CommandLine=”.cpl”) OR (EventCode=1 Image=”\\rundll32.exe” CommandLine =”shell32.dll,ControlRunDLLAsUse” CommandLine=”.cpl”) OR (EventCode=1 Image=”\\rundll32.exe” CommandLine =”.cpl*”) OR (EventCode IN (12,13) TargetObject IN (“HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\ControlPanel\\NameSpace*” , “HKCR\\CLSID*” , “HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\ControlPanel*” , “*Shellex\\PropertySheetHandlers”))
建议
暂无
参考推荐
MITRE-ATT&CK-T1070-004