T1546.007 - Netsh Helper DLL

吉沃运营专员

一、概念

攻击者可以通过执行由 Netsh Helper DLL 触发的恶意内容来实现持久化，Netsh.exe (也称为 Netshell) 是一个命令行脚本实用程序，用于与系统的网络配置进行交互，它包含添加 Helper DLL 以扩展实用程序功能的功能，已注册 netsh.exe Helper DLL 的路径输入 Windows 注册表 HKLM\SOFTWARE\Microsoft\Netsh。

攻击者可以使用 netsh.exe Helper DLL 以持久的方式触发任意代码的执行，此执行将在执行 netsh.exe 时发生，这可能会自动发生，使用另一种持久化技术，或者如果系统上存在执行 netsh.exe 作为其正常功能的一部分的其他软件 (例如 VPN)。

二、涉及到的组织或恶意软件

netsh

三、案例

netsh

netsh 可用作持久化代理技术，在执行 netsh.exe 时执行 Helper DLL

相关报告：https://htmlpreview.github.io/?h ... aster/netshell.html

四、缓解措施

这种类型的攻击技术无法通过预防性控制轻松缓解，因为它基于对系统功能的滥用。

五、如何检测

在大多数环境中，netsh.exe 可能不具有任何子进程。监控进程执行并调查由 netsh.exe 生成的任何子进程是否存在恶意行为。监控 HKLM\SOFTWARE\Microsoft\Netsh 注册表项以查找与已知系统文件或良性软件不相关的任何新条目或可疑条目