Forensics

[MITRE ATT&CK] Event Triggered Execution: Screensaver

마띠(쥔장) 2021. 4. 4. 14:19

 

Event Triggered Execution: Screensaver, Sub-technique T1546.002 - Enterprise | MITRE ATT&CK®

 

attack.mitre.org

ID: T1546.002
Sub-technique of:  T1546
Tactics: Privilege Escalation, Persistence
Platforms: Windows
Permissions Required: User
Data Sources: File monitoring, Process command-line parameters, Process monitoring, Windows Registry
Contributors: Bartosz Jerzman
Version: 1.0
Created: 24 January 2020
Last Modified: 23 March 2020

설명

이 공격은 사용자의 비활동으로 실행되는 '화면 보호기' 프로그램을 이용한 공격이다. Windows 10에서의 '화면 보호기'를 설정하는 화면 보호기 PE 파일은 C:\Windows\System32 파일 또는 C:\Windows\sysWOW64 파일 내, '.scr' 확장자를 가진다.

C:\Windows\System32
C:\Windows\sysWOW64

이 화면 보호기의 동작을 설정하는 레지스트리 경로는 HKCU\Control Panel\Desktop\ 이다. 해당 경로의 키를 조작함으로써 공격자는 지속적인 공격을 실행할 수 있다.

해당 경로의 다음 키값은 화면 보호기 프로그램을 조작한다.

  • SCRNSAVE.exe - 악의적 PE 파일 경로
  • ScreenSaveActive - 화면 보호기를 구동시키려면 '1'
  • ScreenSaverIsSecure - 화면 보호를 해제 시 패스워드를 요구하지 않으려면 '0'
  • ScreenSaveTimeout - 사용자의 PC 이용이 멈추고 화면 보호기가 실행될 때까지의 시간 (단위: 초)

 

 

위 값을 변경하여 공격자는 사용자가 시스템 이용을 멈춘 후 일정 시간이 지나 화면 보호기가 실행될 때, 화면 보호기 대신 악의적인 파일을 실행시킬 수 있다.

실습

exe 파일의 실행으로 scr 파일이 등록되는지, 레지스트리에는 어떻게 적용되는지 확인하기 위해, 정상적인 화면 보호기 파일인 'st_clock-7.exe'를 다운받았다.

해당 파일을 실행시키면, 아래와 같이 설치 마법사가 실행된다.

설치가 끝난 후 scr 파일이 저장되는 sysWOW64 파일을 살펴보니, 'Station Clock-7.scr' 파일이 생겼음을 볼 수 있다. 따라서 위 exe 파일은 scr 파일을 생성한다.

이 후 레지스트리 경로를 살펴보니, 이전에는 없었던 'SCRNSAVE.EXE' 키가 생겼다.

그 데이터에는 다운받은 scr 파일의 경로가 들어있다.

위 메커니즘을 통해 악의적인 공격자는 악성 exe 파일을 통해 화면 보호기가 실행될 때 악의적인 파일이 실행될 수 있게 공격할 수 있다.

사례

www.welivesecurity.com/wp-content/uploads/2017/08/eset-gazer.pdf

Turla의 Gazer는 최소 2016년부터 악성 코드를 실행한 백도어 프로그램이다. 화면 보호기 프로그램을 이용하는 위 방법으로 악성코드를 실행했다.

공격 예방

1. 화면 보호기 프로그램 비활성화 / 제거: 화면 보호기가 필요하지 않은 경우 비활성화한다.

docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-2000-server/cc938799(v=technet.10)?redirectedfrom=MSDN

 

Customizing the Desktop

Customizing the Desktop 09/11/2008 2 minutes to read In this article --> You can enable Group Policy settings that control whether users use screen savers and whether they can change screen saver properties. Table 8.8 lists and describes each Group Policy

docs.microsoft.com

2. 실행 방지: .scr 파일이 비표준 위치(원래 있어야 할 곳이 아닌 경로)에서 실행되는 것을 차단한다.

탐지

Sysinternals Autoruns과 같은 툴을 통해 레지스트리에서 화면 보호기 경로의 변경 사항을 감지할 수 있다.

docs.microsoft.com/en-us/sysinternals/downloads/autoruns

 

Autoruns for Windows - Windows Sysinternals

See what programs are configured to startup automatically when your system boots and you login.

docs.microsoft.com

참고 자료

  1. Wikipedia. (2017, November 22). Screensaver. Retrieved December 5, 2017.
  2. ESET. (2017, August). Gazing at Gazer: Turla’s new second stage backdoor. Retrieved September 14, 2017.
  3. Microsoft. (n.d.). Customizing the Desktop. Retrieved December 5, 2017.
728x90
저작자표시 비영리

'Forensics' 카테고리의 다른 글

DFC 2019 IR200 - 악성 파일 찾기  (0) 2021.04.11
bitnang_2020 디포전2급 모의문제 2번 문제 답안 with HxD, FTK  (0) 2021.04.04
$MFT로 파일의 절대 경로 찾기  (0) 2021.03.28
Fixup Array Structure Analysis  (0) 2021.03.14
$MFT Structure Analysis  (0) 2021.02.28

'Forensics'의 다른글

  • 현재글[MITRE ATT&CK] Event Triggered Execution: Screensaver

관련글

티스토리툴바