Примеры обнаружения с помощью продуктов "Кода Безопасности":
Техники: T1547 , T1547.001 , T1547.002 , T1547.003 , T1547.004 , T1547.005 , T1547.006 , T1547.007 , T1547.008 , T1547.009 , T1547.010 , T1547.012 , T1547.013 , T1547.014 , T1547.015
Злоумышленники могут злоупотреблять провайдерами времени для выполнения DLL при загрузке системы. Служба времени Windows (W32Time) обеспечивает синхронизацию времени между доменами и внутри них.(Цитата: Microsoft W32Time Feb 2018) Провайдеры времени W32Time отвечают за получение меток времени из аппаратных/сетевых ресурсов и вывод этих значений другим сетевым клиентам.(Цитата: Microsoft TimeProvider)
Провайдеры времени реализованы в виде динамически подключаемых библиотек (DLL), которые регистрируются в подзакладках `HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\W32Time\TimeProviders\`.(Цитата: Microsoft TimeProvider) Менеджер провайдеров времени, управляемый менеджером управления службами, загружает и запускает провайдеров времени, перечисленных и включенных под этим ключом, при запуске системы и/или при изменении параметров.(Цитата: Microsoft TimeProvider)
Злоумышленники могут злоупотреблять этой архитектурой для установления постоянства, в частности путем создания нового подключа с произвольным именем, указывающего на вредоносную DLL в значении `DllName`.Для регистрации провайдера времени требуются привилегии администратора, хотя выполнение будет происходить в контексте учетной записи Local Service.(Цитата: Github W32Time Oct 2017)
https://attack.mitre.org/techniques/T1547/003
Визуализация смежных техник для T1547.003
| № | Техника |
|---|
