ATT&CK -

admin 2024年4月15日03:46:43评论4 views字数 810阅读2分42秒阅读模式

AppInit DLLs

注册表键值 AppInit_DLLs 位于 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows。它所指向的动态链接库(DLL)都会加载到每个使用到 User32.DLL 的进程实际上,这几乎等同于所有程序。因为
user32.dll
是一个十分常见的库。类似于进程注入,攻击者可以滥用这些值,通过使恶意 DLL 被加载并在计算机上独立进程的上下文中运行,实现持久化和特权升级。在 Windows
8 和更高版本中开启安全引导 (secure boot) 模式时,AppInit
DLL 功能会被禁用。

缓解

升级到 Windows 8 或更高版本并启用安全引导。使用能够审核和/或拦截未知 DLL 的白名单 工具(如 AppLocker)识别并拦截可能通过 AppInit DLL 执行的潜在恶意软件。

检测

通过加载 user32.dll 的进程监视 DLL 加载,并查找无法识别或未正常加载到进程中的 DLL。
监视 AppInit_DLLs 注册表值,以查找与已知软件、补丁周期等不相关的修改。监视和分析标志着注册表编辑的应用程序编程接口 (API) 调用,如 RegCreateKeyEx 和 RegSetValueEx。
Sysinternals Autoruns 等工具也可用于检测可能尝试持久化的系统更改,包括列出当前的 AppInit DLL。

查找可能由于加载恶意 DLL 的进程而导致的异常进程行为。
不应孤立地看待数据和事件,而应将其视为可能导致其他活动的行为链的一部分,例如为命令与控制建立网络连接、通过披露(Discovery)了解环境细节以及横向移动。

- 译者: 林妙倩、戴亦仑 . source:cve.scap.org.cn

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年4月15日03:46:43
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   ATT&CK -https://cn-sec.com/archives/2658166.html

发表评论

匿名网友 填写信息