T1546.002 - 屏幕保护程序

吉沃运营专员

一、概念

攻击者可通过执行屏幕保护程序来触发恶意程序从而建立持久化。屏幕保护程序是在用户电脑不活动时执行的程序，由 .scr 文件扩展名的可移植可执行 (PE) 文件组成。Windows 屏幕保护程序 scrnsave.scr 位于 C:\Windows\System32\ 和 64 位 Windows 系统上的 C:\Windows\sysWOW64\ 中。

以下屏幕保护程序设置存储在注册表 (HKCU\Control Panel\Desktop\) 中，可用来实现持久化：

• SCRNSAVE.exe - 设置为恶意 PE 路径；
• ScreenSaveActive - 设置为 "1" 以启用屏幕保护程序；
• ScreenSaverIsSecure - 设置为 "0" 不需要密码解锁；
• ScreenSaveTimeout - 在执行屏幕保护程序之前设置用户不活动超时；
  

攻击者可以使用屏幕保护程序设置来实现持久化，方法是将屏幕保护程序设置为在用户不活动的特定时间范围内运行恶意软件。

二、涉及到的组织或恶意软件

Gazer

三、案例

Gazer

Gazer 可以通过配置系统屏幕保护程序来执行恶意软件，从而建立持久化。

相关报告：https://www.welivesecurity.com/wp-content/uploads/2017/08/eset-gazer.pdf

四、缓解措施

• 如果不需要，请使用组策略禁用屏幕保护程序；
• 阻止 .scr 文件从非标准位置执行；
  

五、如何检测

监控 .scr 文件的进程执行和命令行参数，监控注册表中可能与用户行为不相关的屏幕保护程序配置更改。

Sysinternals Autoruns 等工具可用于检测注册表中屏幕保护程序二进制路径的更改，可疑路径和 PE 文件可能表明网络中的合法屏幕保护程序存在异常值，应进行调查。

liuming

优质内容值得分享