Техника на mitre.org

T1218.013: Mavinject

Злоумышленники могут использовать утилиту mavinject.exe для выполнения вредоносного кода. Mavinject.exe, или Microsoft Application Virtualization Injector, — это утилита Windows в составе технологии Microsoft Application Virtualization (App-V), способная внедрять код во внешние процессы.

Злоумышленники могут использовать mavinject.exe для внедрения вредоносных DLL-библиотек в запущенные процессы (см. технику Внедрение DLL-библиотек), что позволяет им выполнять произвольный код (например, C:\Windows\system32\mavinject.exe PID /INJECTRUNNING PATH_DLL). Поскольку файл mavinject.exe может быть подписан сертификатом Microsoft, этот метод позволяет избежать детектирования защитными решениями, так как выполнение вредоносного кода маскируется под легитимный процесс.

Помимо внедрения DLL-библиотек, mavinject.exe также может использоваться для выполнения инъекции заголовка импорта через параметр командной строки /HMODULE (например, mavinject.exe PID /HMODULE=BASE_ADDRESS PATH_DLL ORDINAL_NUMBER). Эта команда внедряет в модуль по заданному базовому адресу запись таблицы импорта, в которой указана DLL-библиотека.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_defense_evasion: PT-CR-455: Mavinject_AWL_Bypass: Попытка обойти запрет на запуск приложений с помощью встроенной утилиты Microsoft Windows mavinject.exe (предоставляется клиентом App-V)

Способы обнаружения

ID	DS0017	Источник и компонент данных	Команда: Выполнение команд	Описание	Злоумышленники могут переименовывать уязвимые бинарные файлы, чтобы обойти механизмы обнаружения, однако для реализации техники Внедрение DLL-библиотек они должны использовать команду mavinject.exe с аргументом `INJECTRUNNING`, который можно отслеживать для обнаружения вредоносной активности.

ID	DS0009	Источник и компонент данных	Процесс: Создание процесса	Описание	Отслеживайте запуск утилиты mavinject.exe и ее аргументы. Сопоставляйте недавние вызовы mavinject.exe с историей использования известных допустимых аргументов и внедренных DLL-библиотек, чтобы выявить аномальную и потенциально вредоносную активность.

ID	Источник и компонент данных	Описание
DS0017	Команда: Выполнение команд	Злоумышленники могут переименовывать уязвимые бинарные файлы, чтобы обойти механизмы обнаружения, однако для реализации техники Внедрение DLL-библиотек они должны использовать команду mavinject.exe с аргументом `INJECTRUNNING`, который можно отслеживать для обнаружения вредоносной активности.
DS0009	Процесс: Создание процесса	Отслеживайте запуск утилиты mavinject.exe и ее аргументы. Сопоставляйте недавние вызовы mavinject.exe с историей использования известных допустимых аргументов и внедренных DLL-библиотек, чтобы выявить аномальную и потенциально вредоносную активность.

Меры противодействия

ID	M1042	Название	Отключение или удаление компонента или программы	Описание	По возможности удалите mavinject.exe, если Microsoft App-V не используется в данной среде.

ID	M1038	Название	Защита от выполнения	Описание	Используйте контроль приложений, настроенный на блокировку выполнения mavinject.exe, если он не требуется для данной системы или сети, чтобы предотвратить потенциальное использование злоумышленниками.

ID	Название	Описание
M1042	Отключение или удаление компонента или программы	По возможности удалите mavinject.exe, если Microsoft App-V не используется в данной среде.
M1038	Защита от выполнения	Используйте контроль приложений, настроенный на блокировку выполнения mavinject.exe, если он не требуется для данной системы или сети, чтобы предотвратить потенциальное использование злоумышленниками.