Windowsには、ユーザーがログインする前に(たとえば、ユーザーがWindowsログオン画面にいるとき)キーの組み合わせで起動できるアクセシビリティ機能が含まれています。攻撃者は、これらのプログラムの起動方法を変更して、システムにログインせずにコマンドプロンプトまたはバックドアを取得できます。
2つの一般的なアクセシビリティプログラムは、Shiftキーを5回押すと起動する C:\Windows\System32\sethc.exe
と、Windows + Uキーの組み合わせで起動する
C:\Windows\System32\utilman.exe
です。sethc.exeプログラムは、多くの場合「スティッキーキー」と呼ばれ、リモートデスクトップログイン画面を介した認証されていないアクセスを行うために、攻撃者によって使用されています。[1]
Windowsのバージョンによっては、コードの完全性が強化されているため、攻撃者はこれらの機能をさまざまな方法で利用できます。 Windowsの新しいバージョンでは、置き換えられたバイナリはx64システム用にデジタル署名する必要があり、バイナリは%systemdir%\
に存在し、Windowsファイルまたはリソース保護(WFP /
WRP)で保護する必要があります。[2]デバッガメソッドは、対応するアクセシビリティ機能のバイナリを置き換える必要がないため、潜在的な回避策として発見された可能性があります。
例:
たとえば、Windows XP以降およびWindows Server 2003 / R2以降でのプログラム (e.g., C:\Windows\System32\utilman.exe
) を「cmd.exe」(またはバックドアアクセスを提供する別のプログラム)へ置き換えます。 その後、キーボードの前に座って、もしくはRemote Desktop Protocolを介して接続しているときに、ログイン画面で適切なキーの組み合わせを押すと、置き換えられたファイルがSYSTEM権限で実行されます。 [3]
たとえば、Windows Vista以降およびWindows Server 2008以降のデバッガー方式の場合、「cmd.exe」またはバックドアアクセスを提供する別のプログラムを、アクセシビリティプログラム(たとえば、「utilman.exe」)のための「デバッガ」として、構成するレジストリキーを変更できます。レジストリが変更された後、キーボードまたはRDPで接続しているときにログイン画面で適切なキーの組み合わせを押すと、「デバッガ」プログラムがSYSTEM権限で実行されます。[3]
同様の方法で利用できるその他のアクセシビリティ機能: [2]
C:\Windows\System32\osk.exe
C:\Windows\System32\Magnify.exe
C:\Windows\System32\Narrator.exe
C:\Windows\System32\DisplaySwitch.exe
C:\Windows\System32\AtBroker.exe
Name | Description |
---|---|
APT29 | |
APT3 |
APT3 は、永続性のためにSticky Keysバイナリ |
APT41 | |
Axiom |
Axiom は、永続性を取得するためにRDPセッション内でスティッキーキーの置換を使用することが知られています。[17] |
Deep Panda |
Deep Panda は、スティッキキーテクニックを使用して、侵入時にリモートシステムのRDPログイン画面をバイパスしました。[16] |
Empire |
Empire は、sethc.exe、Utilman.exe、Magnify.exeなどのバイナリをcmd.exeにリモートで置き換えるためにWMIデバッグを利用することができます。[12] |
Mitigation | Description |
---|---|
Execution Prevention 実行防止 |
攻撃者は、このテクニックを実行するために、アクセシビリティ機能のバイナリを別のバイナリに置き換えることができます。必要に応じて、Windows Defender Application Control、AppLocker、またはソフトウェア制限ポリシーなどのアプリケーションホワイトリストツールを使用して、アクセシビリティ機能によって実行される悪性の可能性のあるソフトウェアを特定してブロックします。[6][7][8][9][10][11] |
Limit Access to Resource Over Network ネットワーク上のリソースへのアクセスを制限 |
可能であれば、ネットワーク内のRDPの接続とセキュリティ構成を管理するために、リモートデスクトップゲートウェイを使用します。[5] |
Operating System Configuration オペレーティングシステムの構成 |
このテクニックをリモートで使用するには、攻撃者はRDPと組み合わせて使用する必要があります。セッションが作成され、ログイン画面が表示される前に、リモートデスクトップセッションが強制的に認証されるように、ネットワークレベル認証が有効になっていることを確認してください。 Windows Vista以降ではデフォルトで有効になっています。[4] |
既知のソフトウェア、パッチサイクルなどと関係しないアクセシビリティユーティリティバイナリまたはバイナリパスの変更は疑わしいです。関連キーのレジストリを変更できるツールのコマンドライン呼び出しも疑わしいです。ユーティリティの引数とバイナリ自体の変更を監視する必要があります。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
のレジストリキーを監視してください。