签名的二进制代理执行

具有可信数字证书签名的二进制文件可以在受数字签名验证保护的 Windows 系统上执行。
Windows 安装中默认的几个 Microsoft 签名二进制文件可以用于代理其他文件的执行。
攻击者可能会滥用此行为来执行恶意文件，从而绕过系统上的应用程序白名单和签名验证。
该技术考虑了在现有技术中尚未考虑的代理执行方法。

Mavinject.exe

Mavinject.exe 是一个允许代码执行的 Windows 实用程序。
可以使用 Mavinject 将 DLL 注入到正在运行的进程中。

"C:\Program Files\Common Files\microsoft shared\ClickToRun\MavInject32.exe" /INJECTRUNNING
C:\Windows\system32\mavinject.exe /INJECTRUNNING

SyncAppvPublishingServer.exe

SyncAppvPublishingServer.exe 可以在不执行 powershell.exe 的情况下运行 powershell 脚本。

存在其他若干个可用于执行类似行为的二进制文件。

缓解

在给定的环境中，可能并不需要某些可用于执行其他程序的签名二进制文件。
如果给定的系统或网络不需要这些脚本，配置应用程序白名单来拦截它们的执行，防止攻击者潜在的滥用。

检测

监视可能用于代理恶意文件执行的签名二进制文件的进程和命令行参数。
将活动与其他可疑行为关联起来，以减少由于用户和管理员的正常良性使用而产生的误报。

- 译者: 林妙倩、戴亦仑 . source:cve.scap.org.cn