Техника на mitre.org

T1218.009: Утилиты Regsvcs и Regasm

Злоумышленники могут воспользоваться утилитами Regsvcs и Regasm для выполнения кода через легитимную утилиту Windows. Regsvcs и Regasm — это утилиты командной строки Windows, предназначенные для регистрации сборок для использования с COM-моделями в .NET. Обе утилиты являются бинарными файлами и могут быть подписаны сертификатом Microsoft .

Обе утилиты могут использоваться для обхода механизмов контроля приложений. Для этого злоумышленники в атрибутах бинарного файла указывают код, который должен выполняться до регистрации или ее отмены: [ComRegisterFunction] или [ComUnregisterFunction] соответственно. Код с этими атрибутами будет выполнен, даже если у процесса недостаточно прав для выполнения основной операции (регистрации или удаления регистрации) .

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_defense_evasion: PT-CR-197: RegAsm_Or_RegSvcs_AWL_Bypass: Попытка обойти запрет на запуск приложений с помощью встроенной утилиты Microsoft Windows regasm.exe (средство регистрации сборок) или regsvcs.exe (программа установки служб .NET)

Способы обнаружения

ID	DS0017	Источник и компонент данных	Команда: Выполнение команд	Описание	Рекомендуется также отслеживать аргументы, которые использовались до и после вызова Regsvcs.exe или Regasm.exe, чтобы определить происхождение и назначение выполняемого бинарного файла.

ID	DS0009	Источник и компонент данных	Процесс: Создание процесса	Описание	Отслеживайте процессы для мониторинга запуска утилит Regsvcs.exe и Regasm.exe и их аргументов. Сопоставляйте недавние вызовы утилит Regsvcs.exe и Regasm.exe с историей запуска допустимых бинарных файлов и их аргументов, чтобы выявить аномальную и потенциально вредоносную активность.

ID	Источник и компонент данных	Описание
DS0017	Команда: Выполнение команд	Рекомендуется также отслеживать аргументы, которые использовались до и после вызова Regsvcs.exe или Regasm.exe, чтобы определить происхождение и назначение выполняемого бинарного файла.
DS0009	Процесс: Создание процесса	Отслеживайте процессы для мониторинга запуска утилит Regsvcs.exe и Regasm.exe и их аргументов. Сопоставляйте недавние вызовы утилит Regsvcs.exe и Regasm.exe с историей запуска допустимых бинарных файлов и их аргументов, чтобы выявить аномальную и потенциально вредоносную активность.

Меры противодействия

ID	M1038	Название	Защита от выполнения	Описание	Блокируйте выполнение Regsvcs.exe и Regasm.exe, если они не требуются для данной системы или сети, чтобы предотвратить возможные злоупотребления со стороны злоумышленников.

ID	M1042	Название	Отключение или удаление компонента или программы	Описание	Утилиты Regsvcs и Regasm могут быть не нужны в конкретной среде.

ID	Название	Описание
M1038	Защита от выполнения	Блокируйте выполнение Regsvcs.exe и Regasm.exe, если они не требуются для данной системы или сети, чтобы предотвратить возможные злоупотребления со стороны злоумышленников.
M1042	Отключение или удаление компонента или программы	Утилиты Regsvcs и Regasm могут быть не нужны в конкретной среде.