合法 Windows 工具遭滥用：威胁者利用 mavinject.exe 进行隐秘 DLL 注入

安博士实验室安全应急响应中心 (ASEC) 报告称，攻击者滥用合法的 Microsoft 实用程序 mavinject.exe，将恶意 DLL 负载注入合法进程。这种技术使攻击者能够绕过安全措施并隐藏其恶意活动。

Mavinject.exe 是 Microsoft 提供的合法命令行实用程序。它旨在将动态链接库 (DLL) 注入应用程序虚拟化 (App-V)环境中的特定进程。自 Windows 10 版本 1607 以来，此实用程序一直是 Windows 操作系统的默认组件，并且是 Microsoft 签名的受信任可执行文件。因此，许多安全解决方案倾向于将 mavinject.exe 视为安全的应用程序。

ASEC 在其详细分析中指出： “威胁行为者利用此漏洞，使用 mavinject.exe 将恶意 DLL 负载注入合法进程。”

攻击者利用 mavinject.exe 的合法功能将恶意 DLL 注入到正常进程中。报告概述了 mavinject.exe 在此过程中使用的关键 Windows API：

• OpenProcess：检索目标进程的句柄。

• VirtualAllocEx：在目标进程的虚拟内存空间内分配内存。

• WriteProcessMemory：将 DLL 路径写入分配的内存。

• CreateRemoteThread：在目标进程中创建一个新线程，并调用LoadLibraryW函数加载并执行恶意DLL。

通过使用mavinject.exe，攻击者可以实现外部代码执行并逃避检测。

ASEC 报告提供了威胁行为者如何在实际攻击中使用 mavinject.exe 的示例：

• Earth Preta（Mustang Panda）：据观察，该 APT 组织使用 mavinject.exe 将恶意 DLL（例如后门）注入到 waitfor.exe 等合法进程中。

• Lazarus Group：该威胁组织还利用 mavinject.exe 将恶意 DLL 注入 explorer.exe。

在这两种情况下，攻击者都利用了 mavinject.exe 是合法的 Microsoft 实用程序这一事实来绕过安全解决方案并隐藏其恶意活动。

ASEC报告建议采取以下检测和响应措施：

检测：

• mavinject.exe使用特定参数 ( /INJECTRUNNING, /HMODULE)监视命令行执行。

• 监控 API 调用，如OpenProcess、、和。VirtualAllocExWriteProcessMemoryCreateRemoteThread

• 跟踪LoadLibraryW呼叫路径是否存在异常。

回复：

• mavinject.exe当不使用 App-V 功能时，实施阻止执行的策略。

• 建立规则来检测进程间 DLL 注入。

• 定期检查正常进程中是否存在异常的DLL加载历史记录。

原文始发于微信公众号（Ots安全）：合法 Windows 工具遭滥用：威胁者利用 mavinject.exe 进行隐秘 DLL 注入