В Windows служба W32Time обеспечивает синхронизацию времени внутри и между доменами. Провайдеры времени в этой службе, реализованные в виде DLL, получают и распространяют метки времени из различных источников. Они регистрируются в реестре Windows, что делает их привлекательными целями для злоумышленников, которые могут заменить легитимные DLL на вредоносные, чтобы использовать этот важнейший механизм синхронизации в неблаговидных целях.
Использование злоумышленниками поставщиков времени
Злоумышленники, стремящиеся сохранить устойчивость системы Windows, могут нацелиться на службу W32Time, критически важный компонент для синхронизации времени в сетевых операциях. Для этого они манипулируют определенным ключом реестра:
| 1 | HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\W32Time\TimeProviders\ |
Получив права администратора, злоумышленники могут изменить этот ключ реестра и включить в него вредоносную библиотеку DLL. Обычно это делается с помощью команды reg add. Например, они могут добавить новый подключ для регистрации вредоносной DLL в качестве поставщика времени, используя такую команду, как:
| 1 | "HKLM\System\CurrentControlSet\Services\W32Time\TimeProviders\MyMaliciousTimeProvider" /v "DllName" /d "C:\Path\To\Malicious.dll" /f |
Этот метод скрытен и эффективен: вредоносная программа внедряется в важную системную службу. При загрузке системы или перезапуске службы W32Time менеджер управления службами загружает зарегистрированные провайдеры времени, включая вредоносную DLL. Эта DLL, запущенная под учетной записью Local Service, обладает достаточными привилегиями для выполнения различных вредоносных действий, используя критическую роль службы синхронизации времени в работе сети.
Чтобы снизить риск использования злоумышленниками службы W32Time в системах Windows, необходимо применять комплекс ограничительных мер. Применение групповой политики для ограничения прав доступа к файлам и каталогам может предотвратить несанкционированные изменения DLL-библиотеки W32Time, блокируя внедрение вредоносного кода. Одновременно с этим ограничение прав доступа к реестру с помощью групповой политики очень важно для защиты параметров реестра W32Time от несанкционированных изменений.