T1546.009: Модификация ключа AppCertDLLs
Злоумышленники могут закрепиться в системе или повысить свои привилегии путем запуска вредоносного содержимого, активируемого DLL-библиотеками AppCert, загруженными в память процессов. Динамические библиотеки (DLL), указанные в значении AppCertDLLs
ключа реестра HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\
, загружаются в каждый процесс, где вызываются повсеместно используемые функции API CreateProcess
, CreateProcessAsUser
, CreateProcessWithLoginW
, CreateProcessWithTokenW
или WinExec
.
Как и при внедрении кода в процессы, это значение может быть использовано для получения повышенных привилегий путем загрузки и запуска вредоносной DLL в контексте отдельных процессов на компьютере. Вредоносные DLL-библиотеки AppCert также могут обеспечить закрепление в системе благодаря их постоянной активации при обращении к API.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
mitre_attck_defense_evasion: PT-CR-1360: Suspicious_Registry_Value: Злоупотребление реестром Windows, что может быть признаком подготовки к атаке: закрепления, повышения привилегий, горизонтального перемещения, предотвращения обнаружения, сбора данных и другой вредоносной активности
mitre_attck_persistence: PT-CR-1349: AppCert_DLLs_Persist: Закрепление путем изменения настроек компонента AppCertDLLs
Способы обнаружения
ID | DS0011 | Источник и компонент данных | Модуль: Загрузка модуля | Описание | Отслеживайте загрузку DLL процессами, обращая особое внимание на незнакомые DLL и те, которые обычно не загружаются в память процессов. Такие инструменты, как Sysinternals Autoruns, могут не учитывать автозапуск с помощью DLL-библиотек AppCert . |
---|
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Отслеживайте выполнение команд с аргументами, которые могут использоваться для закрепления в системе и (или) повышения уровня привилегий путем запуска вредоносного содержимого, активируемого DLL-библиотеками AppCert, загруженными в память процессов. |
---|
ID | DS0009 | Источник и компонент данных | Процесс: Вызовы API ОС | Описание | Отслеживайте и анализируйте вызовы API (такие как |
---|
ID | DS0024 | Источник и компонент данных | Реестр Windows: Изменение ключа реестра Windows | Описание | Отслеживайте изменения в значении реестра AppCertDLLs, не связанные с известным ПО, циклами выпуска исправлений и другой легитимной активностью. |
---|
ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Отслеживайте выполнение новых процессов, которые могут использоваться для закрепления в системе и (или) повышения уровня привилегий путем запуска вредоносного содержимого, активируемого DLL-библиотеками AppCert, загруженными в память процессов. |
---|
Меры противодействия
ID | M1038 | Название | Защита от выполнения | Описание | Для реализации этой техники злоумышленники устанавливают новые бинарные файлы AppCertDLL. Используйте средства контроля приложений, такие как управление приложениями в Защитнике Windows, AppLocker или политики ограниченного использования программ (SRP), чтобы выявлять и при необходимости блокировать потенциально вредоносные программы, выполняемые через функциональность AppCertDLLs . |
---|