detecting-t1548-abuse-elevation-control-mechanism
通过监控注册表修改、进程提升标志和异常的父子进程关系,检测提升控制机制滥用,包括 UAC 绕过、sudo 利用和 setuid/setgid 操纵。
Best use case
detecting-t1548-abuse-elevation-control-mechanism is best used when you need a repeatable AI agent workflow instead of a one-off prompt.
通过监控注册表修改、进程提升标志和异常的父子进程关系,检测提升控制机制滥用,包括 UAC 绕过、sudo 利用和 setuid/setgid 操纵。
Teams using detecting-t1548-abuse-elevation-control-mechanism should expect a more consistent output, faster repeated execution, less prompt rewriting.
When to use this skill
- You want a reusable workflow that can be run more than once with consistent structure.
When not to use this skill
- You only need a quick one-off answer and do not need a reusable workflow.
- You cannot install or maintain the underlying files, dependencies, or repository context.
Installation
Claude Code / Cursor / Codex
Manual Installation
- Download SKILL.md from GitHub
- Place it in
.claude/skills/detecting-t1548-abuse-elevation-control-mechanism/SKILL.mdinside your project - Restart your AI agent — it will auto-discover the skill
How detecting-t1548-abuse-elevation-control-mechanism Compares
| Feature / Agent | detecting-t1548-abuse-elevation-control-mechanism | Standard Approach |
|---|---|---|
| Platform Support | Not specified | Limited / Varies |
| Context Awareness | High | Baseline |
| Installation Complexity | Unknown | N/A |
Frequently Asked Questions
What does this skill do?
通过监控注册表修改、进程提升标志和异常的父子进程关系,检测提升控制机制滥用,包括 UAC 绕过、sudo 利用和 setuid/setgid 操纵。
Where can I find the source code?
You can find the source code on GitHub using the link provided at the top of the page.
SKILL.md Source
# 检测 T1548 提升控制机制滥用
## 适用场景
- 狩猎 Windows 环境中通过 UAC 绕过进行权限提升时
- 威胁情报表明活跃威胁组织正在使用 UAC 绕过漏洞时
- 调查攻击者如何在不触发 UAC 提示的情况下获取管理员权限时
- 安全评估期间验证 UAC 绕过检测覆盖范围时
- 监控 Linux 系统上的 setuid/setgid 滥用时
## 前置条件
- 配置了命令行和父进程日志的 Sysmon 事件 ID 1
- 开启进程追踪的 Windows 安全事件 ID 4688
- 针对 UAC 相关注册表键的注册表审计(HKCU\Software\Classes)
- Sysmon 事件 ID 12/13(注册表键/值修改)
- 具备提升监控能力的 EDR
## 工作流程
1. **监控 UAC 注册表修改**:许多 UAC 绕过会修改 `HKCU\Software\Classes\ms-settings\shell\open\command` 或 `HKCU\Software\Classes\mscfile\shell\open\command` 下的注册表键。追踪这些更改的 Sysmon 事件 12/13。
2. **检测自动提升进程滥用**:某些 Windows 二进制文件会自动提升而不触发 UAC 提示(fodhelper.exe、computerdefaults.exe、eventvwr.exe)。狩猎由非标准父进程启动这些文件的情况。
3. **追踪进程完整性级别变更**:监控进程在没有对应 UAC 同意事件的情况下从中级提升到高级完整性级别的情况。
4. **狩猎提升进程衍生**:检测自动提升进程生成非预期子进程(cmd.exe、powershell.exe)的情况——这表明存在 UAC 绕过利用。
5. **监控 Linux 提升滥用**:追踪 sudo 错误配置利用、SUID 二进制文件滥用和能力操纵。
6. **与权限提升链关联**:将提升滥用映射到更广泛的攻击链,识别使用提升权限执行的操作。
## 核心概念
| 概念 | 描述 |
|------|------|
| T1548.002 | 绕过用户账户控制(UAC Bypass) |
| T1548.001 | Setuid 和 Setgid(Linux) |
| T1548.003 | Sudo 和 Sudo 缓存 |
| T1548.004 | 带提示的提升执行(macOS) |
| UAC 自动提升 | 无需提示即可提升的 Windows 二进制文件 |
| fodhelper.exe | 通过注册表劫持进行 UAC 绕过的常见向量 |
| eventvwr.exe | MSC 文件处理程序 UAC 绕过 |
| 完整性级别 | Windows 进程信任级别(低/中/高/System) |
## 检测查询
### Splunk——通过注册表修改进行 UAC 绕过
```spl
index=sysmon (EventCode=12 OR EventCode=13)
| where match(TargetObject, "(?i)HKCU\\\\Software\\\\Classes\\\\(ms-settings|mscfile|exefile|Folder)\\\\shell\\\\open\\\\command")
| table _time Computer User EventCode TargetObject Details Image
```
### Splunk——自动提升进程滥用
```spl
index=sysmon EventCode=1
| where match(Image, "(?i)(fodhelper|computerdefaults|eventvwr|sdclt|slui|cmstp)\.exe$")
| where NOT match(ParentImage, "(?i)(explorer|svchost|services)\.exe$")
| table _time Computer User Image CommandLine ParentImage ParentCommandLine
```
### KQL——UAC 绕过检测
```kql
DeviceRegistryEvents
| where Timestamp > ago(7d)
| where RegistryKey has_any ("ms-settings\\shell\\open\\command", "mscfile\\shell\\open\\command")
| where ActionType == "RegistryValueSet"
| project Timestamp, DeviceName, RegistryKey, RegistryValueData, InitiatingProcessFileName
```
### Sigma 规则
```yaml
title: UAC Bypass via Registry Modification
status: stable
logsource:
product: windows
category: registry_set
detection:
selection:
TargetObject|contains:
- '\ms-settings\shell\open\command'
- '\mscfile\shell\open\command'
- '\exefile\shell\open\command'
condition: selection
level: high
tags:
- attack.privilege_escalation
- attack.t1548.002
```
## 常见场景
1. **fodhelper.exe 注册表劫持**:攻击者将 `HKCU\Software\Classes\ms-settings\shell\open\command` 设置为恶意可执行文件,然后启动 fodhelper.exe,后者自动提升并执行被劫持的命令。
2. **eventvwr.exe MSC 绕过**:修改 `HKCU\Software\Classes\mscfile\shell\open\command` 以拦截事件查看器的自动提升行为。
3. **sdclt.exe 绕过**:利用 Windows 备份工具的自动提升执行任意命令。
4. **CMSTP.exe INF 绕过**:使用带有恶意 INF 文件的连接管理器配置文件安装程序,通过 `/s /ni` 标志绕过 UAC。
5. **自动提升中的 DLL 劫持**:将恶意 DLL 放置在自动提升可执行文件的搜索路径中。
## 输出格式
```
Hunt ID: TH-UAC-[DATE]-[SEQ]
Host: [主机名]
Bypass Method: [注册表劫持/DLL 劫持/令牌操纵]
Auto-Elevate Binary: [fodhelper.exe/eventvwr.exe 等]
Registry Key Modified: [完整注册表路径]
Payload Executed: [命令或二进制路径]
User Context: [账户]
Risk Level: [Critical/High/Medium]
ATT&CK Technique: [T1548.00x]
```Related Skills
testing-for-broken-access-control
系统性测试 Web 应用程序中的访问控制缺陷,包括权限提升、缺失的功能级检查以及不安全的直接对象引用。
implementing-usb-device-control-policy
实施 USB 设备控制策略,限制端点上未授权的可移动媒体访问,防止通过 USB 设备 进行数据泄露和引入恶意软件。适用于通过组策略、Intune 或 EDR 平台部署设备控制 以执行 USB 限制的场景。适用于涉及 USB 控制、可移动媒体策略、设备控制或 通过 USB 进行数据丢失防护的请求。
implementing-pod-security-admission-controller
使用内置准入控制器在命名空间级别实施 Kubernetes Pod Security Admission(Pod 安全准入),强制执行基线和受限安全配置文件。
implementing-pci-dss-compliance-controls
PCI DSS 4.0.1 为存储、处理或传输持卡人数据的组织建立了跨 6 个控制目标的 12 项要求。随着 PCI DSS 3.2.1 于 2024 年 4 月退休,51 项新要求将于 2025 年 3 月 31 日强制生效,本技能涵盖所有要求的实施,包括新的定制化验证方法、增强身份认证和持续监控控制。
implementing-network-access-control
使用 RADIUS 认证、PacketFence NAC 和交换机配置实施 802.1X 基于端口的网络访问控制, 以强制执行基于身份的访问策略、态势评估和授权设备的自动 VLAN 分配。
implementing-network-access-control-with-cisco-ise
部署 Cisco Identity Services Engine,实现 802.1X 有线和无线认证、MAC 认证旁路、态势评估和动态 VLAN 分配以进行网络访问控制。
implementing-nerc-cip-compliance-controls
本技能涵盖为大型电力系统(BES)网络系统实施北美电力可靠性公司关键基础设施保护(NERC CIP)合规控制措施。内容包括资产分类(CIP-002)、电子安全边界(CIP-005)、系统安全管理(CIP-007)、配置管理(CIP-010)、供应链风险管理(CIP-013),以及2025年更新内容,包括远程访问强制MFA和扩展的低影响资产要求。
implementing-gdpr-data-protection-controls
《通用数据保护条例》(EU)2016/679(GDPR)是欧盟关于个人数据收集、处理、存储和传输的综合数据保护法律。本技能涵盖实施 GDPR 要求的技术和组织措施。
implementing-endpoint-dlp-controls
实施端点数据丢失防护(DLP)控制,检测并防止敏感数据通过电子邮件、USB、 云存储和打印进行泄露。适用于部署 DLP 代理、创建内容检查策略或防止 端点上未授权数据移动的场景。适用于涉及 DLP、数据泄露防护、内容检查 或端点敏感数据保护的请求。
implementing-api-key-security-controls
实施安全的API密钥生成、存储、轮换和吊销控制,防止API认证凭据泄露、暴力破解和滥用。 设计具有足够熵的API密钥格式,实施安全哈希存储,执行按密钥范围限制和速率限制, 监控公共仓库中的密钥泄露,并构建密钥轮换工作流。
implementing-api-gateway-security-controls
在API网关层实施安全控制,包括认证强制执行、速率限制、请求验证、IP白名单、TLS终止和威胁防护。 配置API网关(Kong、AWS API Gateway、Azure APIM、Apigee)作为集中式安全执行点, 在流量到达后端服务前对所有API流量进行验证、节流和监控。
implementing-api-abuse-detection-with-rate-limiting
使用令牌桶、滑动窗口和自适应速率限制算法实现API滥用检测,防止DDoS、暴力破解和凭据填充攻击。