ATT&CK - 端口监视器

admin 2024年4月15日01:24:37评论8 views字数 561阅读1分52秒阅读模式

端口监视器

可以通过 API 调用设置端口监视器, 以设置要在启动时加载的 DLL。 此 DLL 可以位于 C:\Windows\System32,并且在启动时被打印机,spoolsv.exe 被加载。spoolsv.exe 进程也在 SYSTEM 级别权限下运行。 或者,如果权限允许为该 DLL 写入完整的路径名到HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors​​,则可以加载任意 DLL。注册表项包含以下条目:1. 本地端口 2. 标准 TCP / IP 端口 3. USB 监视器 WSD 端口

攻击者可以使用此技术在启动时加载恶意代码,这些代码将在系统重新启动时持续存在并以 SYSTEM 级别权限执行。

缓解

利用能够监控以 SYSTEM 权限运行的进程的 DLL 加载情况的白名单 工具,识别并拦截可能以这种方式持久存在的潜在恶意软件。

  • 监视进程 API 调用。
  • 监视 spoolsv.exe 为异常 DLL 加载的 DLL。
  • 写入 System32 目录且与已知的良好软件或补丁无关的新 DLL 可能是可疑的。
  • 监视注册表中HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors的更改。
  • 运行 Autorun,它将作为持久性机制检查注册表项 。

- 译者: 林妙倩、戴亦仑 . source:cve.scap.org.cn

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年4月15日01:24:37
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   ATT&CK - 端口监视器https://cn-sec.com/archives/2658037.html

发表评论

匿名网友 填写信息