T1546.010: Модификация ключа AppInit_DLLs
Злоумышленники могут закрепиться в системе или повысить свои привилегии путем запуска вредоносного содержимого, активируемого DLL-библиотеками AppInit, загруженными в память процессов. Динамические библиотеки (DLL), указанные в значении AppInit_DLLs
реестра в ключе HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows
или HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows
, загружаются библиотекой user32.dll в каждый процесс, загружающий саму user32.dll. В реальности это почти каждая программа, поскольку user32.dll — весьма часто используемая библиотека .
Как и при внедрении кода в процессы, эти значения могут быть использованы для получения повышенных привилегий путем загрузки и запуска вредоносной DLL в контексте отдельных процессов на компьютере . Вредоносные DLL-библиотеки AppInit также могут обеспечить закрепление в системе благодаря их постоянной активации при обращении к API.
Функциональность DLL-библиотек AppInit отключена в Windows 8 и более поздних версиях при включении безопасной загрузки .
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
mitre_attck_persistence: PT-CR-269: Windows_Autorun_Modification: Изменен состав автозапуска ОС Windows
Способы обнаружения
ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Отслеживайте выполнение новых процессов, которые могут использоваться для закрепления в системе и (или) повышения уровня привилегий путем запуска вредоносного содержимого, активируемого DLL-библиотеками AppInit, загруженными в память процессов. Примечание. Для обнаружения новых процессов reg.exe, изменяющих ключи DLL-библиотек AppInit, можно использовать фильтрацию событий Sysmon с идентификатором 1 (создание процесса) и событий безопасности Windows с идентификатором 4688 (создание нового процесса), так как ключи реестра передаются в командную строку в качестве параметров. |
---|
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Отслеживайте выполнение команд с аргументами, которые могут использоваться для закрепления в системе и (или) повышения уровня привилегий путем запуска вредоносного содержимого, активируемого DLL-библиотеками AppInit, загруженными в память процессов. |
---|
ID | DS0011 | Источник и компонент данных | Модуль: Загрузка модуля | Описание | Отслеживайте загрузку DLL процессами, которые загружают библиотеку user32.dll, обращая особое внимание на незнакомые DLL и те, которые обычно не загружаются в память процессов. |
---|
ID | DS0024 | Источник и компонент данных | Реестр Windows: Изменение ключа реестра Windows | Описание | Отслеживайте изменения в значениях реестра AppInit_DLLs, не связанные с известным ПО, циклами выпуска исправлений и другой легитимной активностью. Злоумышленники могут закрепиться в системе и (или) повысить свои привилегии путем запуска вредоносного содержимого, активируемого DLL-библиотеками AppInit, загруженными в память процессов. Динамические библиотеки (DLL), указанные в значении реестра AppInit_DLLs в ключе HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows или HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows, загружаются библиотекой user32.dll в каждый процесс, загружающий саму user32.dll. Эти значения могут быть использованы для получения повышенных привилегий путем загрузки и запуска вредоносной DLL в контексте отдельных процессов. Соответственно, данная аналитика отслеживает модификации в ключах реестра, которые могут указывать на подобные вредоносные действия. Аналитика 1. Модификация ключа AppInit_DLLs
|
---|
ID | DS0009 | Источник и компонент данных | Процесс: Вызовы API ОС | Описание | Отслеживайте и анализируйте вызовы API (такие как |
---|
Меры противодействия
ID | M1038 | Название | Защита от выполнения | Описание | Для реализации этой техники злоумышленники могут установить новые бинарные файлы DLL-библиотек AppInit. Используйте средства контроля приложений, такие как управление приложениями в Защитнике Windows, AppLocker или политики ограниченного использования программ (SRP), чтобы выявлять и при необходимости блокировать потенциально вредоносные программы, выполняемые через функциональность DLL-библиотек AppInit . |
---|
ID | M1051 | Название | Обновление ПО | Описание | Перейдите на Windows 8 или более позднюю версию и включите безопасную загрузку. |
---|