T1546.001 - 修改文件的默认关联程序

吉沃运营专员

一、概念

攻击者可以通过执行由文件类型关联触发的恶意内容来建立持久性。当打开文件时，会检查用于打开文件的默认程序 (也称为文件关联或处理程序)。在 Windows 注册表中可以设置文件关联程序，可由具有注册表访问权限的用户、管理员或程序或管理员使用内置的 assoc 实用程序进行编辑。应用程序可以修改给定文件扩展名的文件关联，以在打开具有给定扩展名的文件时调用任意程序。

系统文件关联在 HKEY_CLASSES_ROOT.[extension] 下列出，例如 HKEY_CLASSES_ROOT.txt。这些条目指向位于 HKEY_CLASSES_ROOT[handler] 的扩展处理程序，然后，在 HKEY_CLASSES_ROOT[handler]\shell[action]\command 的 shell 键下面，将各种命令列为子键，例如：

1. HKEY_CLASSES_ROOT\txtfile\shell\open\command
   
2. HKEY_CLASSES_ROOT\txtfile\shell\print\command*
   
3. HKEY_CLASSES_ROOT\txtfile\shell\printto\command

复制代码

列出的键值是当处理程序打开文件扩展名时执行的命令，攻击者可以修改这些值从而执行任意命令。

二、涉及到的组织或恶意软件

Kimsuky

三、案例

Kimsuky

Kimsuky 中出现过一个 HWP 文档窃取器模块，该模块会修改注册表中相关项，从而更改打开 HWP 文档的默认程序。

相关报告：https://securelist.com/the-kimsu ... h-korean-apt/57915/ - 来源：卡巴斯基

四、缓解措施

这种类型的攻击很难通过预防性控制来轻松缓解，因为它是基于对系统特性的滥用。

五、如何检测

收集和分析注册表项的更改，这些更改将文件扩展名关联到要执行的默认应用程序，并与未知的进程启动活动或该进程的不寻常文件类型相关联。

用户文件关联首选项存储在 [HKEY_CURRENT_USER]\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts 下，并覆盖在 [HKEY_CLASSES_ROOT] 下配置的关联。用户首选项的更改将发生在此条目的子项下。

还要查找异常进程调用树以执行可能与发现操作或其他技术相关的其他命令。