Техника на mitre.org

T1546.007: DLL-библиотеки, загружаемые с помощью Netsh

Злоумышленники могут закрепиться в системе путем запуска вредоносного содержимого, активируемого вспомогательными DLL-библиотеками, которые загружаются с помощью Netsh. Netsh.exe (или Netshell) — это утилита для работы со сценариями командной строки, используемая для взаимодействия с сетевой конфигурацией системы. Ее функциональность может быть расширена путем добавления вспомогательных DLL-библиотек. Пути к зарегистрированным вспомогательным DLL-библиотекам netsh.exe указываются в ключе HKLM\SOFTWARE\Microsoft\Netsh реестра Windows.

Злоумышленники могут использовать вспомогательные DLL-библиотеки netsh.exe для постоянного выполнения нужного кода. Код будет выполняться при любом запуске netsh.exe, который может происходить автоматически, посредством другого механизма закрепления в системе или при наличии в системе другого программного обеспечения (например, VPN), которое запускает netsh.exe в процессе своей обычной работы.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_persistence: PT-CR-607: Persistence_Netsh_DLL: Обнаружена регистрация DLL с помощью утилиты "netsh"

Способы обнаружения

ID	DS0017	Источник и компонент данных	Команда: Выполнение команд	Описание	Отслеживайте выполнение команд с аргументами, которые могут использоваться для закрепления в системе путем запуска вредоносного содержимого через вспомогательные DLL-библиотеки Netsh.

ID	DS0024	Источник и компонент данных	Реестр Windows: Изменение ключа реестра Windows	Описание	Отслеживайте ключ реестра `HKLM\SOFTWARE\Microsoft\Netsh` на предмет новых или подозрительных записей, которые не связаны с известными системными файлами и легитимным программным обеспечением .

ID	DS0011	Источник и компонент данных	Модуль: Загрузка модуля	Описание	Отслеживайте события, связанные с файлами DLL/PE, особенно события создания этих бинарных файлов, а также загрузки DLL в память процессов. Отслеживайте незнакомые DLL и те, которые обычно не загружаются в память процессов.

ID	DS0009	Источник и компонент данных	Процесс: Создание процесса	Описание	Например, создание дочерних процессов программой netsh.exe нетипично для большинства сред. Отслеживайте процессы и анализируйте дочерние процессы, порожденные netsh.exe, на предмет вредоносных действий.

ID	Источник и компонент данных	Описание
DS0017	Команда: Выполнение команд	Отслеживайте выполнение команд с аргументами, которые могут использоваться для закрепления в системе путем запуска вредоносного содержимого через вспомогательные DLL-библиотеки Netsh.
DS0024	Реестр Windows: Изменение ключа реестра Windows	Отслеживайте ключ реестра `HKLM\SOFTWARE\Microsoft\Netsh` на предмет новых или подозрительных записей, которые не связаны с известными системными файлами и легитимным программным обеспечением .
DS0011	Модуль: Загрузка модуля	Отслеживайте события, связанные с файлами DLL/PE, особенно события создания этих бинарных файлов, а также загрузки DLL в память процессов. Отслеживайте незнакомые DLL и те, которые обычно не загружаются в память процессов.
DS0009	Процесс: Создание процесса	Например, создание дочерних процессов программой netsh.exe нетипично для большинства сред. Отслеживайте процессы и анализируйте дочерние процессы, порожденные netsh.exe, на предмет вредоносных действий.