DecoyMini 技术交流社区

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
查看: 4398|回复: 0

[T1546] T1546.007 - Netsh Helper DLL

[复制链接]

188

主题

35

回帖

30

荣誉

Rank: 9Rank: 9Rank: 9

UID
2
积分
354
精华
1
沃币
2 枚
注册时间
2021-6-24

论坛管理

发表于 2022-3-15 15:34:41 | 显示全部楼层 |阅读模式
一、概念

攻击者可以通过执行由 Netsh Helper DLL 触发的恶意内容来实现持久化,Netsh.exe (也称为 Netshell) 是一个命令行脚本实用程序,用于与系统的网络配置进行交互,它包含添加 Helper DLL 以扩展实用程序功能的功能,已注册 netsh.exe Helper DLL 的路径输入 Windows 注册表 HKLM\SOFTWARE\Microsoft\Netsh。

攻击者可以使用 netsh.exe Helper DLL 以持久的方式触发任意代码的执行,此执行将在执行 netsh.exe 时发生,这可能会自动发生,使用另一种持久化技术,或者如果系统上存在执行 netsh.exe 作为其正常功能的一部分的其他软件 (例如 VPN)。

二、涉及到的组织或恶意软件

netsh

三、案例

netsh

netsh 可用作持久化代理技术,在执行 netsh.exe 时执行 Helper DLL

相关报告:https://htmlpreview.github.io/?h ... aster/netshell.html

四、缓解措施

这种类型的攻击技术无法通过预防性控制轻松缓解,因为它基于对系统功能的滥用。

五、如何检测

在大多数环境中,netsh.exe 可能不具有任何子进程。监控进程执行并调查由 netsh.exe 生成的任何子进程是否存在恶意行为。监控 HKLM\SOFTWARE\Microsoft\Netsh 注册表项以查找与已知系统文件或良性软件不相关的任何新条目或可疑条目

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver|小黑屋|DecoyMini 技术交流社区 (吉沃科技) ( 京ICP备2021005070号 )

GMT+8, 2024-12-22 16:05 , Processed in 0.058734 second(s), 23 queries .

Powered by Discuz! X3.4

Copyright © 2001-2023, Tencent Cloud.

快速回复 返回顶部 返回列表