Техника на mitre.org

T1218.010: Утилита Regsvr32

Злоумышленники могут использовать программу Regsvr32.exe для выполнения вредоносного кода. Regsvr32.exe — это программа, выполняемая в режиме командной строки для регистрации и отмены регистрации элементов управления OLE, в том числе DLL-библиотек, в ОС Windows. Бинарный файл Regsvr32.exe может быть подписан сертификатом Microsoft .

Неправомерное использование Regsvr32.exe может позволить обойти средства безопасности: программа часто включена в списки разрешенных процессов (либо игнорируется из-за высокого числа ложных срабатываний на штатные операции Windows), поэтому средства безопасности не всегда отслеживают выполнение процесса и загружаемые им модули. Regsvr32.exe также может применяться для обхода механизмов контроля приложений с помощью функций загрузки сценариев COM (файлов SCT) для запуска DLL-файлов с правами пользователя. Поскольку Regsvr32.exe поддерживает работу в сети, в том числе с проксированием, злоумышленники могут загружать сценарии, передавая в качестве аргумента URL-адрес файла, размещенного на внешнем веб-сервере. При этом изменения в реестр не вносятся, поскольку COM-объект фактически не регистрируется, а только выполняется . Эта вариация техники, часто упоминаемая под названием Squiblydoo, использовалась в атаках на государственные учреждения .

Утилита Regsvr32 также может применяться для регистрации COM-объекта, который позволяет злоумышленникам закрепиться в системе с помощью перехвата COM-объектов .

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_defense_evasion: PT-CR-946: Suspicious_Execution_Via_Regsvr32: Попытка обойти запрет на запуск приложений с помощью встроенной утилиты Microsoft Windows regsvr32.exe (используется для регистрации DLL) mitre_attck_defense_evasion: PT-CR-650: Suspicious_File_Created_By_Legal_Process: Обнаруживает создание подозрительных файлов легитимными процессами mitre_attck_defense_evasion: PT-CR-198: Regsvr32_AWL_Bypass: Попытка обойти запрет на запуск приложений с помощью встроенной утилиты Microsoft Windows regsvr32.exe (используется для регистрации DLL) hacking_tools: PT-CR-357: Koadic_REGSVR32_Stager: Обнаружено возможное использование программного обеспечения Koadic через "Regsvr32"

Способы обнаружения

ID	DS0011	Источник и компонент данных	Модуль: Загрузка модуля	Описание	Отслеживайте события, связанные с файлами DLL/PE, особенно события создания этих бинарных файлов, а также загрузки DLL в память процессов. Отслеживайте незнакомые DLL и те, которые обычно не загружаются в память процессов. Примечание. Эта аналитика отслеживает неподписанные образы, которые могут загружаться утилитой regsvr32, и отсеивает ложные срабатывания, связанные с выполнением бинарных файлов из каталогов Windows и Program Files. Аналитика 5. Загрузка неподписанных образов `(source="WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode="7") (Image="C:\Windows\System32\regsvr32.exe" OR Image="C:\Windows\SysWOW64\regsvr32.exe") Signed=false ImageLoaded!="C:\Program Files" ImageLoaded!="C:\Windows\*"\|stats values(ComputerName) as "Computer Name" count(ImageLoaded) as ImageLoadedCount by ImageLoaded`

ID	DS0017	Источник и компонент данных	Команда: Выполнение команд	Описание	Рекомендуется также отслеживать аргументы, которые использовались до и после вызова regsvr32.exe, чтобы определить происхождение и назначение загружаемых сценариев или DLL-библиотек .

ID	DS0029	Источник и компонент данных	Сетевой трафик: Создание сетевого подключения	Описание	Отслеживайте создание сетевых соединений с недоверенными узлами.

ID	DS0009	Источник и компонент данных	Процесс: Создание процесса	Описание	Отслеживайте процессы для мониторинга запуска утилиты regsvr32.exe и ее аргументов. Сопоставляйте недавние вызовы утилиты regsvr32.exe с историей использования известных допустимых аргументов и загрузки допустимых файлов, чтобы выявить аномальную и потенциально вредоносную активность. Примечание. Указаны идентификаторы событий для Sysmon (1: создание процесса) и журнала безопасности Windows (4688: создание нового процесса). Аналитика 1 — это обобщенная аналитика, который отслеживает подозрительное применение regsvr32.exe, в частности случаи, когда regsvr32.exe создает дочерние процессы, которые не являются его копиями. Маловероятно, что он обнаружит много таких процессов, но поскольку они могут быть частью безобидной активности, нужно сопоставлять результаты со штатными операциями, чтобы снизить количество ложных оповещений. Аналитика 2 отслеживает конкретный случай эксплуатации regsvr32.exe (техника Squiblydoo) с целью загрузки сценария COM непосредственно из интернета и его выполнения в обход списков разрешенных приложений. Он отслеживает события создания процесса regsvr32.exe, который загружает scrobj.dll через командную строку для запуска сценария COM. Аналитика 3 использует ту же логику, что и предыдущая, но с добавлением фильтров, которые отсеивают все события, зарегистрированные системой за последние 30 дней (учитываются события только за 1 день). Аналитика 4 отслеживает процессы, которые могли быть запущены через regsvr32, исключая ложные срабатывания от стандартных процессов, таких как werfault (отчеты об ошибках Windows). Аналитика 1. Обобщенная аналитика для процессов regsvr32 `(source="WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode="1") OR (source="WinEventLog:Security" EventCode="4688") regsvr32.exe \| search ParentImage="regsvr32.exe" AND Image!="regsvr32.exe"` Аналитика 2. Squiblydoo `(source="WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode="1") OR (source="WinEventLog:Security" EventCode="4688") regsvr32.exe scrobj.dll \| search Image="regsvr32.exe"` Аналитика 3. Новые процессы с фильтром за последний месяц `(source="WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode="1") earliest=-d@d latest=now() regsvr32.exe \| search ParentImage="regsvr32.exe" AND Image!="regsvr32.exe" \| search NOT [ search (source="WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode="1") earliest=-60d@d latest=-30d@d regsvr32.exe \| search ParentImage="regsvr32.exe" AND Image!="regsvr32.exe" \| dedup CommandLine \| fields CommandLine ]` Аналитика 4. Порождение дочерних процессов (source="*WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode="1") (ParentImage="C:\Windows\System32\regsvr32.exe" OR ParentImage="C:\Windows\SysWOW64\regsvr32.exe") AND Image!="C:\Windows\System32\regsvr32.exe" AND Image!="C:\Windows\SysWOW64\regsvr32.exe" AND Image!="C:\WINDOWS\System32\regsvr32.exe" AND Image!="C:\WINDOWS\SysWOW64\regsvr32.exe" AND Image!="C:\Windows\SysWOW64\WerFault.exe" AND Image!="C:\Windows\System32\wevtutil.exe" AND Image!="C:\Windows\System32\WerFault.exe"\|stats values(ComputerName) as "Computer Name" values(ParentCommandLine) as "Parent Command Line" count(Image) as ImageCount by Image

ID	Источник и компонент данных	Описание
DS0011	Модуль: Загрузка модуля	Отслеживайте события, связанные с файлами DLL/PE, особенно события создания этих бинарных файлов, а также загрузки DLL в память процессов. Отслеживайте незнакомые DLL и те, которые обычно не загружаются в память процессов. Примечание. Эта аналитика отслеживает неподписанные образы, которые могут загружаться утилитой regsvr32, и отсеивает ложные срабатывания, связанные с выполнением бинарных файлов из каталогов Windows и Program Files. Аналитика 5. Загрузка неподписанных образов `(source="WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode="7") (Image="C:\Windows\System32\regsvr32.exe" OR Image="C:\Windows\SysWOW64\regsvr32.exe") Signed=false ImageLoaded!="C:\Program Files" ImageLoaded!="C:\Windows\*"\|stats values(ComputerName) as "Computer Name" count(ImageLoaded) as ImageLoadedCount by ImageLoaded`
DS0017	Команда: Выполнение команд	Рекомендуется также отслеживать аргументы, которые использовались до и после вызова regsvr32.exe, чтобы определить происхождение и назначение загружаемых сценариев или DLL-библиотек .
DS0029	Сетевой трафик: Создание сетевого подключения	Отслеживайте создание сетевых соединений с недоверенными узлами.
DS0009	Процесс: Создание процесса	Отслеживайте процессы для мониторинга запуска утилиты regsvr32.exe и ее аргументов. Сопоставляйте недавние вызовы утилиты regsvr32.exe с историей использования известных допустимых аргументов и загрузки допустимых файлов, чтобы выявить аномальную и потенциально вредоносную активность. Примечание. Указаны идентификаторы событий для Sysmon (1: создание процесса) и журнала безопасности Windows (4688: создание нового процесса). Аналитика 1 — это обобщенная аналитика, который отслеживает подозрительное применение regsvr32.exe, в частности случаи, когда regsvr32.exe создает дочерние процессы, которые не являются его копиями. Маловероятно, что он обнаружит много таких процессов, но поскольку они могут быть частью безобидной активности, нужно сопоставлять результаты со штатными операциями, чтобы снизить количество ложных оповещений. Аналитика 2 отслеживает конкретный случай эксплуатации regsvr32.exe (техника Squiblydoo) с целью загрузки сценария COM непосредственно из интернета и его выполнения в обход списков разрешенных приложений. Он отслеживает события создания процесса regsvr32.exe, который загружает scrobj.dll через командную строку для запуска сценария COM. Аналитика 3 использует ту же логику, что и предыдущая, но с добавлением фильтров, которые отсеивают все события, зарегистрированные системой за последние 30 дней (учитываются события только за 1 день). Аналитика 4 отслеживает процессы, которые могли быть запущены через regsvr32, исключая ложные срабатывания от стандартных процессов, таких как werfault (отчеты об ошибках Windows). Аналитика 1. Обобщенная аналитика для процессов regsvr32 `(source="WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode="1") OR (source="WinEventLog:Security" EventCode="4688") regsvr32.exe \| search ParentImage="regsvr32.exe" AND Image!="regsvr32.exe"` Аналитика 2. Squiblydoo `(source="WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode="1") OR (source="WinEventLog:Security" EventCode="4688") regsvr32.exe scrobj.dll \| search Image="regsvr32.exe"` Аналитика 3. Новые процессы с фильтром за последний месяц `(source="WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode="1") earliest=-d@d latest=now() regsvr32.exe \| search ParentImage="regsvr32.exe" AND Image!="regsvr32.exe" \| search NOT [ search (source="WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode="1") earliest=-60d@d latest=-30d@d regsvr32.exe \| search ParentImage="regsvr32.exe" AND Image!="regsvr32.exe" \| dedup CommandLine \| fields CommandLine ]` Аналитика 4. Порождение дочерних процессов (source="*WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode="1") (ParentImage="C:\Windows\System32\regsvr32.exe" OR ParentImage="C:\Windows\SysWOW64\regsvr32.exe") AND Image!="C:\Windows\System32\regsvr32.exe" AND Image!="C:\Windows\SysWOW64\regsvr32.exe" AND Image!="C:\WINDOWS\System32\regsvr32.exe" AND Image!="C:\WINDOWS\SysWOW64\regsvr32.exe" AND Image!="C:\Windows\SysWOW64\WerFault.exe" AND Image!="C:\Windows\System32\wevtutil.exe" AND Image!="C:\Windows\System32\WerFault.exe"\|stats values(ComputerName) as "Computer Name" values(ParentCommandLine) as "Parent Command Line" count(Image) as ImageCount by Image

Меры противодействия

ID	M1050	Название	Защита от эксплойтов	Описание	Функция Microsoft Enhanced Mitigation Experience Toolkit (EMET) Attack Surface Reduction (ASR) может быть использована для блокировки regsvr32.exe с целью обхода контроля приложений . Используйте средства контроля приложений, такие как управление приложениями в Защитнике Windows, AppLocker или политики ограниченного использования программ (SRP), чтобы выявлять и при необходимости блокировать потенциально вредоносные программы, выполняемые через функциональность regsvr32 .

ID	Название	Описание
M1050	Защита от эксплойтов	Функция Microsoft Enhanced Mitigation Experience Toolkit (EMET) Attack Surface Reduction (ASR) может быть использована для блокировки regsvr32.exe с целью обхода контроля приложений . Используйте средства контроля приложений, такие как управление приложениями в Защитнике Windows, AppLocker или политики ограниченного использования программ (SRP), чтобы выявлять и при необходимости блокировать потенциально вредоносные программы, выполняемые через функциональность regsvr32 .