T1546.009 - AppCert DLLs

吉沃运营专员

一、概念

攻击者可以通过执行由加载到进程中的 AppCert DLL 触发的恶意内容来实现持久化或提升权限，在 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\ 下的 AppCertDLLs 注册表项中指定的动态链接库 (DLL) 被加载到调用普遍使用的 CreateProcess、CreateProcessAsUser、CreateProcessWithLoginW、 CreateProcessWithTokenW 或 WinExec。

与进程注入类似，可被滥用，这样会导致恶意 DLL 在计算机上不同进程的上下文中加载和运行，以此来获得提升的权限。

二、涉及到组织或恶意软件

Honeybee、PUNCHBUGGY

三、案例

Honeybee

基于服务的 DLL 植入程序可以使用 CreateProcessAsUser 指定的参数执行下载的文件

相关报告：https://www.mcafee.com/blogs/oth ... itarian-aid-groups/

PUNCHBUGGY

PUNCHBUGGY 可以使用 AppCertDLLs 注册表项建立

相关报告：https://www2.fireeye.com/WBNR-Kn ... Spear-Phishing.html

四、缓解措施

攻击者安装新的 AppCertDLL 来执行此技术，在适当的情况下，使用应用程序控制工具 (如 Windows Defender 应用程序控制、AppLocker 或软件限制策略) 识别和阻止通过 AppCertDLLs 功能执行的潜在恶意软件

五、如何检测

监视进程加载的 DLL，特别是查找无法识别或未正常加载到进程中的 DLL。监控 AppCert DLLs 注册表值是否与已知软件、补丁周期等无关的修改。监控和分析指示注册表编辑的应用程序编程接口 (API) 调用，例如 RegCreateKeyEx 和 RegSetValueEx。Sysinternals Autoruns 等工具可能会忽略 AppCert DLL 作为自动启动位置。

查找可能由于加载恶意 DLL 的进程导致的异常进程行为。 不应孤立地看待数据和事件，而应将其视为可能导致其他活动的行为链的一部分，例如为指挥和控制建立网络连接、通过发现了解环境细节以及进行横向移动。