Winlogon Helper DLL

Winlogon.exe 是一个 Windows 组件，负责登录/注销时的操作以及 Ctrl-Alt-Delete 触发的安全注意序列（SAS）。在 HKLM\Software[Wow6432Node]Microsoft\Windows NT\CurrentVersion\Winlogon\ 和 HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\ 的注册表项用于管理支持 Winlogon 的其他帮助程序和功能。 [1]

对这些注册表项的恶意修改可能导致 Winlogon 加载和执行恶意 DLL 和/或可执行文件。确切说，已知以下子项可能容易被滥用： [1]

• Winlogon \ Notify - 指向处理 Winlogon 事件的通知包 DLL
• Winlogon \ Userinit - 指向 userinit.exe，即用户登录时执行的用户初始化程序
• Winlogon \ Shell - 指向 explorer.exe，即用户登录时执行的系统 shell 攻击者可以利用这些特性重复执行恶意代码并持久化 。

缓解

限制用户帐户的权限，只有授权的管理员才能更改 Winlogon 帮助程序。

使用能够审核和/或拦截未知 DLL 的白名单 [5] 工具（如 AppLocker） [6] [7] ，识别并拦截可能通过 Winlogon 帮助程序进程执行的潜在恶意软件。

检测

监视与 Winlogon 关联的且与已知软件， 补丁周期等无关的注册表项的更改。Sysinternals Autoruns 等工具也可用于检测可能尝试持久化的系统更改，包括列出当前的 Winlogon 帮助程序值。 [8] 写入 System32 的且与已知的良性软件或补丁无关的新 DLL 也可能是可疑的。

查找可能由加载恶意 DLL 的进程导致的异常进程行为。不应孤立地看待数据和事件，而应将其视为可能导致其他活动的行为链的一部分，例如为命令与控制创建的网络连接，通过披露技术(Discovery)来了解有关环境的详细信息以及横向移动(Lateral Movement)。