تشخیص Hidden Windows توسط رول تشخیص اسپلانک
ممکن است مهاجمین از ویندوز مخفی (Hidden windows) برای پنهان کردن فعالیت های مخرب از دید کاربران استفاده کنند. در بعضی موارد، پنجره ای که معمولا هنگام اجرای عملکرد برنامه ی کاربردی نمایش داده می شود می تواند مخفی باشد. این ممکن است توسط مدیران سیستم برای جلوگیری از ایجاد اختلال در محیط کاری کاربر هنگام انجام دادن کارهای اداری مورد استفاده قرار گیرد. ممکن است مهاجمین از عملکرد سیستم عامل سواستفاده کنند، به عنوان مثال پنجره ی قابل مشاهده را از کاربران مخفی کنند تا این که نتواند کاربر را از فعالیت مهاجم در سیستم مطلع کند.
Windows
در زبان اسکریپت نویسی ویندوز ویژگی های متعددی از جمله powershell ،J script, VBscript برای مخفی کردن پنجره ها وجود دارد .
به عنوان مثال powershell.exe-Windows Style Hidden
Mac
تنظیمات مربوط به نحوه ی اجرای برنامه های کاربردی در mac OS در فایل های لیست ویژگی (plist ) لیست شده اند. یکی از برچسب ها (tag) در این فایل ها apple.awt.UIElement می باشد که برنامه های کاربردی جاوا اجازه میدهد تا مانع از نمایش دادن آیکون برنامه کاربردی در Dock شوند. یک کاربرد متداول برای این مورد هنگامی است که برنامه های کاربردی در system tray اجرا می شوند اما نمی خواهند در Dock نمایش داده شوند. اگرچه مهاجمین می توانند از این ویژگی سواستفاده کنند و پنجره ی در حال اجرا را پنهان کنند .
ID:T1564.003
Tactic:Defense Evasion
Platform:macOS
Permission Required:user
Data source:windows event logs ,powershell logs ,process command-line parameters ,Process monitoring ,File monitoring
مثال هایی از روش ها
APT 19 : APT 19 برای پنهان کردن ویندوز پاورشل با تنظیم کردن پارامتر Window Style بر روی hidden از ویندوز مخفی (W hidden) استفاده می کند.
APT28 :APT28 برای پنهان کردن ویندوز پاورشل از پارامتر WindowStyle استفاده کرده است .
کاهش اثر
جلوگیری از اجرا: محدود کردن اجرای برنامه ها با استفاده از نرم افزار آنتی ویروس. برنامه های لیست سفید (whitelist) در macOS که مجاز به داشتن برچسب plist هستند. تمام برنامه های دیگر باید مشکوک در نظر گرفته شوند.
تشخیص
پروسس ها و آرگومان های خط فرمان (command-line arguments) را برای اقدامات نشانه های پنجره مخفی کنترل کنید. در ویندوز برای بررسی کردن window style مخفی، event logging و powershell logging را فعال و پیکربندی کنید. در macOS، فایل های plist فایل های متنی ASCII با فرمت به خصوصی هستند که انالیز ان ها ساده نیست، پایش فایل می تواند apple.awt.UIElement یا سایر plist های مشکوک که در فایل های plist تگ شده اند را بررسی کند و آنها را نشانه گذاری کند.
Index=windows source=”WinEventLog:Microsoft-Windows-Sysmon/Operational” (EventCode=1 Image=”*\\powershell.exe” CommandLine=”*-WindowStyle Hidden*”)