T1546.009 - AppCert DLLs
一、概念攻击者可以通过执行由加载到进程中的 AppCert DLL 触发的恶意内容来实现持久化或提升权限,在 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\ 下的 AppCertDLLs 注册表项中指定的动态链接库 (DLL) 被加载到调用普遍使用的 CreateProcess、CreateProcessAsUser、CreateProcessWithLoginW、 CreateProcessWithTokenW 或 WinExec。
与进程注入类似,可被滥用,这样会导致恶意 DLL 在计算机上不同进程的上下文中加载和运行,以此来获得提升的权限。
二、涉及到组织或恶意软件
Honeybee、PUNCHBUGGY
三、案例
Honeybee
基于服务的 DLL 植入程序可以使用 CreateProcessAsUser 指定的参数执行下载的文件
相关报告:https://www.mcafee.com/blogs/other-blogs/mcafee-labs/mcafee-uncovers-operation-honeybee-malicious-document-campaign-targeting-humanitarian-aid-groups/
PUNCHBUGGY
PUNCHBUGGY 可以使用 AppCertDLLs 注册表项建立
相关报告:https://www2.fireeye.com/WBNR-Know-Your-Enemy-UNC622-Spear-Phishing.html
四、缓解措施
攻击者安装新的 AppCertDLL 来执行此技术,在适当的情况下,使用应用程序控制工具 (如 Windows Defender 应用程序控制、AppLocker 或软件限制策略) 识别和阻止通过 AppCertDLLs 功能执行的潜在恶意软件
五、如何检测
监视进程加载的 DLL,特别是查找无法识别或未正常加载到进程中的 DLL。监控 AppCert DLLs 注册表值是否与已知软件、补丁周期等无关的修改。监控和分析指示注册表编辑的应用程序编程接口 (API) 调用,例如 RegCreateKeyEx 和 RegSetValueEx。Sysinternals Autoruns 等工具可能会忽略 AppCert DLL 作为自动启动位置。
查找可能由于加载恶意 DLL 的进程导致的异常进程行为。 不应孤立地看待数据和事件,而应将其视为可能导致其他活动的行为链的一部分,例如为指挥和控制建立网络连接、通过发现了解环境细节以及进行横向移动。
页:
[1]