跳转至

T1105-Windows Update被发现可滥用于执行恶意程序行为检测

来自ATT&CK的描述

攻击者可能会将工具或其他文件从外部系统转移到被攻陷的环境中。可以通过命令和控制通道从外部攻击者控制的系统中复制文件,以便将工具带入被攻陷的网络环境中,或通过与另一个工具(如FTP)的替代协议复制文件。文件也可以在Mac和Linux上使用scp、rsync和sftp等本机工具进行复制。

测试案例

援引外媒Bleeping Computer报道,MDSec研究人员David Middlehurst发现,攻击者可以通过使用以下命令行选项从任意特制的DLL加载wuauclt,从而在Windows 10系统上执行恶意代码:

wuauclt.exe /UpdateDeploymentProvider [path_to_dll] /RunHandlerComServer

该技巧绕过Windows用户帐户控制(UAC)或Windows Defender应用程序控制(WDAC),可用于在已经受到威胁的系统上获得持久性。之所以能够发现,是因为他发现已经有黑客利用这个漏洞执行攻击行为。

检测日志

windows安全日志、其他EDR类产品

测试复现

暂无

测试留痕

暂无,仅提供检测规则相关的日志示例

windows server 2016/win10

SourceSecurity
LevelError
DescriptionA new process has been created.

Creator Subject:
Security ID: SYSTEM
Account Name: -
Account Domain: -
Logon ID: 0x3E7

Target Subject:
Security ID: NULL SID
Account Name: -
Account Domain: -
Logon ID: 0x0

Process Information:
New Process ID: 0x7b4
New Process Name: C:\Windows\System32\lsass.exe
Token Elevation Type: %%1936
Mandatory Label: Mandatory Label\System Mandatory Level
Creator Process ID: 0x71c
Creator Process Name: C:\Windows\System32\wininit.exe
Process Command Line: #需要单独配置,开启

Token Elevation Type indicates the type of token that was assigned to the new process in accordance with User Account Control policy.

Type 1 is a full token with no privileges removed or groups disabled.  A full token is only used if User Account Control is disabled or if the user is the built-in Administrator account or a service account.

检测规则/思路

sigma规则

title: Windows Update Client滥用检测
status: experimental
description: Detects code execution via the Windows Update client (wuauclt)
references:
    - https://www.nruan.com/75037.html
tags:
    - attack.command_and_control
    - attack.execution
    - attack.t1105
    - attack.t1218
logsource:
    product: windows #windows
    service: process_creation #安全事件,进程创建
detection:
    selection:
        ProcessCommandline|contains|all: #进程命令行参数包含以下任意一项
            - '/UpdateDeploymentProvider'
            - '/RunHandlerComServer'
        Image|endswith: 
            - '\wuauclt.exe' #进程路径为以wuauclt.exe
    condition: selection
falsepositives:
    - Unknown
level: high

建议

低版本操作系统无法记录命令行参数及子父进程,建议通过sysmon进行监控。

参考推荐

MITRE-ATT&CK-T1105

https://attack.mitre.org/techniques/T1105

Windows Update被发现可滥用于执行恶意程序

https://www.nruan.com/75037.html