Мониторы портов в Windows обеспечивают связь с принтером и могут использоваться злоумышленниками в злонамеренных целях. Заменив или добавив DLL-библиотеку монитора порта через реестр Windows, злоумышленники могут обеспечить выполнение своего кода с высокими привилегиями службой спулера печати во время загрузки системы, добившись сохранения и потенциальной эскалации привилегий.
Использование злоумышленниками мониторов портов
Злоумышленники используют мониторы портов Windows для обеспечения устойчивости и потенциального повышения привилегий, гарантируя, что их вредоносный код будет выполняться во время загрузки системы с правами высокого уровня. Мониторы портов, являющиеся неотъемлемой частью процесса печати, управляются службой Print Spooler (spoolsv.exe), которая работает с привилегиями уровня SYSTEM.
Чтобы воспользоваться этим, злоумышленник может зарегистрировать пользовательский монитор портов, в котором будет указана вредоносная DLL, загружаемая при запуске. Этого можно добиться, вызвав API-вызов AddMonitor и указав путь к вредоносной DLL. В качестве альтернативы злоумышленник может напрямую изменить реестр Windows по адресу HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors, создав новый подключ для своего монитора порта и установив в качестве значения «Driver» путь к вредоносной DLL. Эта DLL обычно размещается в каталоге C:\Windows\System32, чтобы совместить ее с легитимными системными файлами.
При следующей загрузке системы служба Print Spooler загружает все зарегистрированные DLL-мониторы портов, включая вредоносную, и запускает ее с привилегиями SYSTEM. Таким образом, злоумышленник получает постоянный и повышенный доступ к системе, что позволяет ему выполнять несанкционированные действия и сохранять контроль над взломанной средой.
Эта техника особенно коварна, поскольку она злоупотребляет легитимными функциями системы, что затрудняет ее обнаружение и устранение последствий. Мониторинг неожиданных модификаций ключей реестра, связанных с мониторами портов, и тщательное изучение DLL, загружаемых службой Print Spooler, могут помочь в выявлении таких вредоносных действий.