T1546.010: Модификация ключа AppInit_DLLs

Злоумышленники могут закрепиться в системе или повысить свои привилегии путем запуска вредоносного содержимого, активируемого DLL-библиотеками AppInit, загруженными в память процессов. Динамические библиотеки (DLL), указанные в значении AppInit_DLLs реестра в ключе HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows или HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows, загружаются библиотекой user32.dll в каждый процесс, загружающий саму user32.dll. В реальности это почти каждая программа, поскольку user32.dll — весьма часто используемая библиотека .

Как и при внедрении кода в процессы, эти значения могут быть использованы для получения повышенных привилегий путем загрузки и запуска вредоносной DLL в контексте отдельных процессов на компьютере . Вредоносные DLL-библиотеки AppInit также могут обеспечить закрепление в системе благодаря их постоянной активации при обращении к API.

Функциональность DLL-библиотек AppInit отключена в Windows 8 и более поздних версиях при включении безопасной загрузки .

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_persistence: PT-CR-269: Windows_Autorun_Modification: Изменен состав автозапуска ОС Windows

Способы обнаружения

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Отслеживайте выполнение новых процессов, которые могут использоваться для закрепления в системе и (или) повышения уровня привилегий путем запуска вредоносного содержимого, активируемого DLL-библиотеками AppInit, загруженными в память процессов.

Примечание. Для обнаружения новых процессов reg.exe, изменяющих ключи DLL-библиотек AppInit, можно использовать фильтрацию событий Sysmon с идентификатором 1 (создание процесса) и событий безопасности Windows с идентификатором 4688 (создание нового процесса), так как ключи реестра передаются в командную строку в качестве параметров.

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Отслеживайте выполнение команд с аргументами, которые могут использоваться для закрепления в системе и (или) повышения уровня привилегий путем запуска вредоносного содержимого, активируемого DLL-библиотеками AppInit, загруженными в память процессов.

IDDS0011Источник и компонент данныхМодуль: Загрузка модуляОписание

Отслеживайте загрузку DLL процессами, которые загружают библиотеку user32.dll, обращая особое внимание на незнакомые DLL и те, которые обычно не загружаются в память процессов.

IDDS0024Источник и компонент данныхРеестр Windows: Изменение ключа реестра WindowsОписание

Отслеживайте изменения в значениях реестра AppInit_DLLs, не связанные с известным ПО, циклами выпуска исправлений и другой легитимной активностью. Злоумышленники могут закрепиться в системе и (или) повысить свои привилегии путем запуска вредоносного содержимого, активируемого DLL-библиотеками AppInit, загруженными в память процессов. Динамические библиотеки (DLL), указанные в значении реестра AppInit_DLLs в ключе HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows или HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows, загружаются библиотекой user32.dll в каждый процесс, загружающий саму user32.dll. Эти значения могут быть использованы для получения повышенных привилегий путем загрузки и запуска вредоносной DLL в контексте отдельных процессов. Соответственно, данная аналитика отслеживает модификации в ключах реестра, которые могут указывать на подобные вредоносные действия.

Аналитика 1. Модификация ключа AppInit_DLLs

source="WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode IN (12, 13, 14) TargetObject= "\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls*" OR TargetObject= "*\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls*"

IDDS0009Источник и компонент данныхПроцесс: Вызовы API ОСОписание

Отслеживайте и анализируйте вызовы API (такие как RegCreateKeyEx и RegSetValueEx), которые могут указывать на действия по редактированию реестра .

Меры противодействия

IDM1038НазваниеЗащита от выполненияОписание

Для реализации этой техники злоумышленники могут установить новые бинарные файлы DLL-библиотек AppInit. Используйте средства контроля приложений, такие как управление приложениями в Защитнике Windows, AppLocker или политики ограниченного использования программ (SRP), чтобы выявлять и при необходимости блокировать потенциально вредоносные программы, выполняемые через функциональность DLL-библиотек AppInit .

IDM1051НазваниеОбновление ПООписание

Перейдите на Windows 8 или более позднюю версию и включите безопасную загрузку.