DecoyMini 技术交流社区

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
查看: 5247|回复: 0

[T1546] T1546.009 - AppCert DLLs

[复制链接]

188

主题

35

回帖

30

荣誉

Rank: 9Rank: 9Rank: 9

UID
2
积分
354
精华
1
沃币
2 枚
注册时间
2021-6-24

论坛管理

发表于 2022-3-30 18:18:07 | 显示全部楼层 |阅读模式
一、概念

攻击者可以通过执行由加载到进程中的 AppCert DLL 触发的恶意内容来实现持久化或提升权限,在 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\ 下的 AppCertDLLs 注册表项中指定的动态链接库 (DLL) 被加载到调用普遍使用的 CreateProcess、CreateProcessAsUser、CreateProcessWithLoginW、 CreateProcessWithTokenW 或 WinExec。

与进程注入类似,可被滥用,这样会导致恶意 DLL 在计算机上不同进程的上下文中加载和运行,以此来获得提升的权限。

二、涉及到组织或恶意软件

Honeybee、PUNCHBUGGY

三、案例

Honeybee

基于服务的 DLL 植入程序可以使用 CreateProcessAsUser 指定的参数执行下载的文件

相关报告:https://www.mcafee.com/blogs/oth ... itarian-aid-groups/

PUNCHBUGGY

PUNCHBUGGY 可以使用 AppCertDLLs 注册表项建立

相关报告:https://www2.fireeye.com/WBNR-Kn ... Spear-Phishing.html

四、缓解措施

攻击者安装新的 AppCertDLL 来执行此技术,在适当的情况下,使用应用程序控制工具 (如 Windows Defender 应用程序控制、AppLocker 或软件限制策略) 识别和阻止通过 AppCertDLLs 功能执行的潜在恶意软件

五、如何检测

监视进程加载的 DLL,特别是查找无法识别或未正常加载到进程中的 DLL。监控 AppCert DLLs 注册表值是否与已知软件、补丁周期等无关的修改。监控和分析指示注册表编辑的应用程序编程接口 (API) 调用,例如 RegCreateKeyEx 和 RegSetValueEx。Sysinternals Autoruns 等工具可能会忽略 AppCert DLL 作为自动启动位置。

查找可能由于加载恶意 DLL 的进程导致的异常进程行为。 不应孤立地看待数据和事件,而应将其视为可能导致其他活动的行为链的一部分,例如为指挥和控制建立网络连接、通过发现了解环境细节以及进行横向移动。

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver|小黑屋|DecoyMini 技术交流社区 (吉沃科技) ( 京ICP备2021005070号 )

GMT+8, 2024-12-22 16:23 , Processed in 0.060881 second(s), 27 queries .

Powered by Discuz! X3.4

Copyright © 2001-2023, Tencent Cloud.

快速回复 返回顶部 返回列表