Матрица MITRE ATT&CK

Техника на mitre.org

T1574.014: AppDomainManager

Злоумышленники могут запускать свою полезную нагрузку путем перехвата механизма загрузки сборок через AppDomainManager в среде .NET. Платформа .NET использует класс AppDomainManager для создания внутри процесса одной или нескольких изолированных сред выполнения и управления ими. Такие среды называются доменами приложений, так как в них выполняются приложения .NET. Сборки (бинарные файлы .exe или .dll, скомпилированные для .NET) могут быть загружены в домен приложения как исполняемый код.

Метод, известный как "внедрение кода в AppDomainManager", позволяет злоумышленникам выполнять произвольный код, перехватывая процесс загрузки сборок в приложениях .NET. Например, вредоносная программа может создать собственный домен приложения внутри целевого процесса, чтобы загрузить и выполнить произвольную сборку. Кроме того, можно изменить файлы конфигурации (.config) или переменные окружения процесса, которые определяют настройки среды выполнения .NET, чтобы заставить безопасные приложения .NET загружать вредоносную сборку (с указанным именем) в целевой процесс.

Способы обнаружения

ID	DS0009	Источник и компонент данных	Процесс: Создание процесса	Описание	Отслеживайте недавно созданные процессы на предмет нетипичного поведения (например, установление сетевого подключения процессом, который обычно этого не делает), а также загрузку нетипичных ресурсов .NET.

ID	DS0011	Источник и компонент данных	Модуль: Загрузка модуля	Описание	Отслеживайте события, связанные с файлами DLL и PE, особенно события создания этих бинарных файлов, а также загрузки сборок .NET в память процессов (при этом не всегда создаются стандартные события загрузки образа). Отслеживайте загрузку нераспознанных образов и образов, которые обычно не загружаются в память процессов.

ID	DS0022	Источник и компонент данных	Файл: Создание файла	Описание	Отслеживайте создание файлов, особенно неизвестных .NET-сборок и конфигурационных файлов, в папках, доступных пользователям для записи.

ID	Источник и компонент данных	Описание
DS0009	Процесс: Создание процесса	Отслеживайте недавно созданные процессы на предмет нетипичного поведения (например, установление сетевого подключения процессом, который обычно этого не делает), а также загрузку нетипичных ресурсов .NET.
DS0011	Модуль: Загрузка модуля	Отслеживайте события, связанные с файлами DLL и PE, особенно события создания этих бинарных файлов, а также загрузки сборок .NET в память процессов (при этом не всегда создаются стандартные события загрузки образа). Отслеживайте загрузку нераспознанных образов и образов, которые обычно не загружаются в память процессов.
DS0022	Файл: Создание файла	Отслеживайте создание файлов, особенно неизвестных .NET-сборок и конфигурационных файлов, в папках, доступных пользователям для записи.

Меры противодействия

ID	M1022	Название	Ограничение разрешений для файлов и каталогов	Описание	Устанавливайте приложения .NET и сопутствующее программное обеспечение в защищенные от записи места. Установите контроль доступа к каталогам, чтобы предотвратить запись файлов в пути поиска для приложений .NET — как в папках, из которых запускаются приложения, так и в стандартных папках ресурсов.

ID	Название	Описание
M1022	Ограничение разрешений для файлов и каталогов	Устанавливайте приложения .NET и сопутствующее программное обеспечение в защищенные от записи места. Установите контроль доступа к каталогам, чтобы предотвратить запись файлов в пути поиска для приложений .NET — как в папках, из которых запускаются приложения, так и в стандартных папках ресурсов.