Accessibility Features
アクセシビリティ機能

Windowsには、ユーザーがログインする前に(たとえば、ユーザーがWindowsログオン画面にいるとき)キーの組み合わせで起動できるアクセシビリティ機能が含まれています。攻撃者は、これらのプログラムの起動方法を変更して、システムにログインせずにコマンドプロンプトまたはバックドアを取得できます。

2つの一般的なアクセシビリティプログラムは、Shiftキーを5回押すと起動する C:\Windows\System32\sethc.exeと、Windows + Uキーの組み合わせで起動する C:\Windows\System32\utilman.exeです。sethc.exeプログラムは、多くの場合「スティッキーキー」と呼ばれ、リモートデスクトップログイン画面を介した認証されていないアクセスを行うために、攻撃者によって使用されています。[1]

Windowsのバージョンによっては、コードの完全性が強化されているため、攻撃者はこれらの機能をさまざまな方法で利用できます。 Windowsの新しいバージョンでは、置き換えられたバイナリはx64システム用にデジタル署名する必要があり、バイナリは%systemdir%\ に存在し、Windowsファイルまたはリソース保護(WFP / WRP)で保護する必要があります。[2]デバッガメソッドは、対応するアクセシビリティ機能のバイナリを置き換える必要がないため、潜在的な回避策として発見された可能性があります。
例:

たとえば、Windows XP以降およびWindows Server 2003 / R2以降でのプログラム (e.g., C:\Windows\System32\utilman.exe) を「cmd.exe」(またはバックドアアクセスを提供する別のプログラム)へ置き換えます。 その後、キーボードの前に座って、もしくはRemote Desktop Protocolを介して接続しているときに、ログイン画面で適切なキーの組み合わせを押すと、置き換えられたファイルがSYSTEM権限で実行されます。 [3]

たとえば、Windows Vista以降およびWindows Server 2008以降のデバッガー方式の場合、「cmd.exe」またはバックドアアクセスを提供する別のプログラムを、アクセシビリティプログラム(たとえば、「utilman.exe」)のための「デバッガ」として、構成するレジストリキーを変更できます。レジストリが変更された後、キーボードまたはRDPで接続しているときにログイン画面で適切なキーの組み合わせを押すと、「デバッガ」プログラムがSYSTEM権限で実行されます。[3]

同様の方法で利用できるその他のアクセシビリティ機能: [2]

  • スクリーンキーボード: C:\Windows\System32\osk.exe
  • 拡大鏡: C:\Windows\System32\Magnify.exe
  • ナレーター: C:\Windows\System32\Narrator.exe
  • ディスプレイスイッチャー: C:\Windows\System32\DisplaySwitch.exe
  • App スイッチャー: C:\Windows\System32\AtBroker.exe
ID: T1015
Tactic: Persistence, Privilege Escalation
Platform: Windows
Permissions Required: Administrator
Effective Permissions: SYSTEM
Data Sources: Windows Registry, File monitoring, Process monitoring
CAPEC ID: CAPEC-558
Contributors: Paul Speulstra, AECOM Global Security Operations Center
Version: 1.0
Created: 31 May 2017
Last Modified: 16 July 2019

Procedure Examples

Name Description
APT29

APT29 は、スティッキーキーを使用して、認証されていないコンソールアクセス権限を取得しました。[14][15]

APT3

APT3 は、永続性のためにSticky Keysバイナリ C:\Windows\System32\sethc.exe を置き換えます。[13]

APT41

APT41 は、永続性を確立するためにスティッキーキーを利用しました。 [18]

Axiom

Axiom は、永続性を取得するためにRDPセッション内でスティッキーキーの置換を使用することが知られています。[17]

Deep Panda

Deep Panda は、スティッキキーテクニックを使用して、侵入時にリモートシステムのRDPログイン画面をバイパスしました。[16]

Empire

Empire は、sethc.exe、Utilman.exe、Magnify.exeなどのバイナリをcmd.exeにリモートで置き換えるためにWMIデバッグを利用することができます。[12]

Mitigations

Mitigation Description
Execution Prevention
実行防止

攻撃者は、このテクニックを実行するために、アクセシビリティ機能のバイナリを別のバイナリに置き換えることができます。必要に応じて、Windows Defender Application Control、AppLocker、またはソフトウェア制限ポリシーなどのアプリケーションホワイトリストツールを使用して、アクセシビリティ機能によって実行される悪性の可能性のあるソフトウェアを特定してブロックします。[6][7][8][9][10][11]

Limit Access to Resource Over Network
ネットワーク上のリソースへのアクセスを制限

可能であれば、ネットワーク内のRDPの接続とセキュリティ構成を管理するために、リモートデスクトップゲートウェイを使用します。[5]

Operating System Configuration
オペレーティングシステムの構成

このテクニックをリモートで使用するには、攻撃者はRDPと組み合わせて使用する必要があります。セッションが作成され、ログイン画面が表示される前に、リモートデスクトップセッションが強制的に認証されるように、ネットワークレベル認証が有効になっていることを確認してください。 Windows Vista以降ではデフォルトで有効になっています。[4]

Detection

既知のソフトウェア、パッチサイクルなどと関係しないアクセシビリティユーティリティバイナリまたはバイナリパスの変更は疑わしいです。関連キーのレジストリを変更できるツールのコマンドライン呼び出しも疑わしいです。ユーティリティの引数とバイナリ自体の変更を監視する必要があります。 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Optionsのレジストリキーを監視してください。

References

  1. Glyer, C., Kazanciyan, R. (2012, August 20). THE “HIKIT” ROOTKIT: ADVANCED AND PERSISTENT ATTACK TECHNIQUES (PART 1). Retrieved June 6, 2016.
  2. Maldonado, D., McGuffin, T. (2016, August 6). Sticky Keys to the Kingdom. Retrieved July 5, 2017.
  3. Tilbury, C. (2014, August 28). Registry Analysis with CrowdResponse. Retrieved November 12, 2014.
  4. Microsoft. (n.d.). Configure Network Level Authentication for Remote Desktop Services Connections. Retrieved June 6, 2016.
  5. Microsoft. (n.d.). Overview of Remote Desktop Gateway. Retrieved June 6, 2016.
  6. Beechey, J. (2010, December). Application Whitelisting: Panacea or Propaganda?. Retrieved November 18, 2014.
  7. Gorzelany, A., Hall, J., Poggemeyer, L.. (2019, January 7). Windows Defender Application Control. Retrieved July 16, 2019.
  8. Tomonaga, S. (2016, January 26). Windows Commands Abused by Attackers. Retrieved February 2, 2016.
  9. NSA Information Assurance Directorate. (2014, August). Application Whitelisting Using Microsoft AppLocker. Retrieved March 31, 2016.
  1. Corio, C., & Sayana, D. P. (2008, June). Application Lockdown with Software Restriction Policies. Retrieved November 18, 2014.
  2. Microsoft. (2012, June 27). Using Software Restriction Policies and AppLocker Policies. Retrieved April 7, 2016.
  3. Schroeder, W., Warner, J., Nelson, M. (n.d.). Github PowerShellEmpire. Retrieved April 28, 2016.
  4. valsmith. (2012, September 21). More on APTSim. Retrieved September 28, 2017.
  5. Dunwoody, M. and Carr, N.. (2016, September 27). No Easy Breach DerbyCon 2016. Retrieved October 4, 2016.
  6. Dunwoody, M. (2017, March 27). APT29 Domain Fronting With TOR. Retrieved March 27, 2017.
  7. RSA Incident Response. (2014, January). RSA Incident Response Emerging Threat Profile: Shell Crew. Retrieved January 14, 2016.
  8. Novetta. (n.d.). Operation SMN: Axiom Threat Actor Group Report. Retrieved November 12, 2014.
  9. Fraser, N., et al. (2019, August 7). Double DragonAPT41, a dual espionage and cyber crime operation APT41. Retrieved September 23, 2019.