MaxPatrol SIEM

Выявляет инциденты ИБ, ведущие к нарушению киберустойчивости компании

T1546.009: Модификация ключа AppCertDLLs

Злоумышленники могут закрепиться в системе или повысить свои привилегии путем запуска вредоносного содержимого, активируемого DLL-библиотеками AppCert, загруженными в память процессов. Динамические библиотеки (DLL), указанные в значении AppCertDLLs ключа реестра HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\, загружаются в каждый процесс, где вызываются повсеместно используемые функции API CreateProcess, CreateProcessAsUser, CreateProcessWithLoginW, CreateProcessWithTokenW или WinExec .

Как и при внедрении кода в процессы, это значение может быть использовано для получения повышенных привилегий путем загрузки и запуска вредоносной DLL в контексте отдельных процессов на компьютере. Вредоносные DLL-библиотеки AppCert также могут обеспечить закрепление в системе благодаря их постоянной активации при обращении к API.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_defense_evasion: PT-CR-1360: Suspicious_Registry_Value: Злоупотребление реестром Windows, что может быть признаком подготовки к атаке: закрепления, повышения привилегий, горизонтального перемещения, предотвращения обнаружения, сбора данных и другой вредоносной активности
mitre_attck_persistence: PT-CR-1349: AppCert_DLLs_Persist: Закрепление путем изменения настроек компонента AppCertDLLs

Способы обнаружения

IDDS0011Источник и компонент данныхМодуль: Загрузка модуляОписание

Отслеживайте загрузку DLL процессами, обращая особое внимание на незнакомые DLL и те, которые обычно не загружаются в память процессов. Такие инструменты, как Sysinternals Autoruns, могут не учитывать автозапуск с помощью DLL-библиотек AppCert .

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Отслеживайте выполнение команд с аргументами, которые могут использоваться для закрепления в системе и (или) повышения уровня привилегий путем запуска вредоносного содержимого, активируемого DLL-библиотеками AppCert, загруженными в память процессов.

IDDS0009Источник и компонент данныхПроцесс: Вызовы API ОСОписание

Отслеживайте и анализируйте вызовы API (такие как RegCreateKeyEx и RegSetValueEx), которые могут указывать на действия по редактированию реестра .

IDDS0024Источник и компонент данныхРеестр Windows: Изменение ключа реестра WindowsОписание

Отслеживайте изменения в значении реестра AppCertDLLs, не связанные с известным ПО, циклами выпуска исправлений и другой легитимной активностью.

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Отслеживайте выполнение новых процессов, которые могут использоваться для закрепления в системе и (или) повышения уровня привилегий путем запуска вредоносного содержимого, активируемого DLL-библиотеками AppCert, загруженными в память процессов.

Меры противодействия

IDM1038НазваниеЗащита от выполненияОписание

Для реализации этой техники злоумышленники устанавливают новые бинарные файлы AppCertDLL. Используйте средства контроля приложений, такие как управление приложениями в Защитнике Windows, AppLocker или политики ограниченного использования программ (SRP), чтобы выявлять и при необходимости блокировать потенциально вредоносные программы, выполняемые через функциональность AppCertDLLs .