跳转至

T1564-003-windwos-隐藏窗口

来自ATT&CK的描述

攻击者可以使用隐藏的窗口将恶意活动隐藏在用户的视线范围之外。在某些情况下,可以隐藏通常在应用程序执行操作时显示的窗口。系统管理员可以利用它来避免在执行管理任务时破坏当前用户的工作环境。

在Windows上,Windows中的脚本语言具有多种功能,例如PowerShell,Jscript和Visual Basic,可以隐藏窗口。一个典型示例就是powershell.exe -WindowStyle Hidden。

同样,在macOS上,属性列表(plist)文件中列出了应用程序运行方式的配置。这些文件中的标记之一可以是apple.awt.UIElement,它允许Java应用程序阻止应用程序的图标出现在Dock中。常见的用法是当应用程序在系统托盘中运行但又不想显示在Dock中时。

攻击者可能滥用这些功能,以向用户隐藏其他可见的窗口,从而不会提醒用户系统上的攻击者活动。

测试案例

暂无,可参考相关文章,传送门:https://zhuanlan.zhihu.com/p/25226349

检测日志

windows sysmon

测试复现

可参考测试案例中相关文章

测试留痕

windows sysmon

检测规则/思路

监视进程和命令行参数是否有指示隐藏窗口的操作。在Windows中,启用并配置事件日志记录和PowerShell日志记录以检查隐藏的窗口样式。在MacOS中,plist文件是具有特定格式的ASCII文本文件,因此它们相对容易解析。文件监视可以检查plist文件中的apple.awt.UIElement或任何其他可疑的plist标记并对其进行标记。

splunk规则

index=windows source=”WinEventLog:Microsoft-Windows-Sysmon/Operational” (EventCode=1 Image=”*\\powershell.exe” CommandLine=”*-WindowStyle Hidden*”)

建议

如上检测规则,存在一定的局限性,可根据自己的实际情况,不断的更新要监视的命令行参数。当然powershell日志也可以做到对命令行参数的记录,也可通过powershell日志进行检测。

参考推荐

MITRE-ATT&CK-T1564-003

https://attack.mitre.org/techniques/T1564/003/

PowerShell 安全专题之攻击检测篇

https://zhuanlan.zhihu.com/p/25226349