T1546.008 - 辅助功能

吉沃运营专员

一、概念

攻击者可以通过执行由可访问性功能触发的恶意内容来实现持久化或提升特权，Windows 包含可在用户登录之前使用组合键启动的辅助功能 (例如：当用户在 Windows 登录屏幕上时)。攻击者可以修改这些程序的启动方式，以获得命令提示符或后门，而无需登录系统。

两个常见的辅助功能程序是 C:\Windows\System32\sethc.exe，当按下 Shift 键五次时启动；C:\Windows\System32\utilman.exe，当按下 Windows + U 组合键时启动。sethc.exe 程序通常被称为 "粘滞键"，并且已被攻击者用于通过远程桌面登录屏幕进行未经身份验证的访问。

根据 Windows 的版本，攻击者可能会以不同的方式利用这些功能。攻击者使用的常用方法包括替换注册表中的可访问性功能二进制文件或指向这些二进制文件的指针/引用。在较新版本的 Windows 中，替换的二进制文件需要针对 x64 系统进行数字签名，二进制文件必须驻留在 %systemdir%\ 中，并且必须受 Windows 文件或资源保护 (WFP/WRP) 保护。Image File Execution Options Injection 调试器方法可能被发现是一种潜在的解决方法，因为它不需要替换相应的辅助功能二进制文件。

例如，对于 Windows XP 及更高版本，Windows Server 2003/R2 及更高版本上的简单二进制替换程序 (例如，C:\Windows\System32\utilman.exe) 可以替换为 "cmd.exe" (或其他提供后门访问的程序)。随后，当通过远程桌面协议连接时，在登录屏幕上按适当的组合键将导致替换的文件以 SYSTEM 权限执行。

其他可访问性功能也可以以类似的方式加以利用：

• On-Screen Keyboard: C:\Windows\System32\osk.exe
• Magnifier: C:\Windows\System32\Magnify.exe
• Narrator: C:\Windows\System32\Narrator.exe
• Display Switcher: C:\Windows\System32\DisplaySwitch.exe
• App Switcher: C:\Windows\System32\AtBroker.exe
  

二、涉及到组织或恶意软件

APT29、APT3、APT41、Axiom、Deep Panda、Empire、Fox Kitten

三、案例

APT29

APT29 使用粘滞键获得未经身份验证的特权控制台访问

相关报告：

• http://www.slideshare.net/MatthewDunwoody1/no-easy-breach-derby-con-2016
• https://www.fireeye.com/blog/threat-research/2017/03/apt29_domain_frontin.html
  

APT3

APT3 替换 Sticky Keys 二进制 C:\Windows\System32\sethc.exe 以实现持久化

相关报告：http://carnal0wnage.attackresear ... more-on-aptsim.html

APT41

APT41 利用粘滞键实现持久化

相关报告：https://content.fireeye.com/apt-41/rpt-apt41

Axiom

Axiom 在 RDP 会话中使用粘滞键替换来实现持久化

相关报告：http://www.novetta.com/wp-conten ... Summary-Final_1.pdf

Deep Panda

Deep Panda 使用粘滞键技术在入侵期间绕过远程系统上的 RDP 登录屏幕

相关报告：https://www.rsa.com/content/dam/ ... file-shell-crew.pdf

Empire

Empire 利用 WMI 调试远程用 cmd.exe 替换 sethc.exe、Utilman.exe 和 Magnify.exe 等文件

相关报告：https://github.com/EmpireProject/Empire

Fox Kitten

Fox Kitten 使用粘滞键启动命令提示符。

相关报告：https://us-cert.cisa.gov/ncas/alerts/aa20-259a

四、缓解措施

• 执行预防 - 攻击者可以用备用二进制文件替换辅助功能二进制文件来执行此技术，在适当的情况下，使用应用程序控制工具 (如 Windows Defender 应用程序控制、AppLocker 或软件限制策略) 识别和阻止通过辅助功能执行的潜在恶意软件；
• 限制通过网络访问资源 - 如果可能，请使用远程桌面网关来管理网络中 RDP 的连接和安全配置；
• 操作系统配置 - 要远程使用此技术，攻击者必须将其与 RDP 结合使用，确保启用网络级别身份验证以强制远程桌面会话在创建会话并显示登录屏幕之前进行身份验证，它在 Windows Vista 及更高版本上默认启用；
  

五、如何检测

对与已知软件、补丁周期等不相关的可访问性实用程序二进制文件或二进制路径的更改是可疑的，命令行调用能够为相关键修改注册表的工具也很可疑。应监视实用程序参数和二进制文件本身的更改。监控 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options 中的注册表项。