Примеры обнаружения с помощью продуктов "Кода Безопасности":
Техники: T1218 , T1218.001 , T1218.002 , T1218.003 , T1218.004 , T1218.005 , T1218.007 , T1218.008 , T1218.009 , T1218.010 , T1218.011 , T1218.012 , T1218.013 , T1218.014 , T1218.015
Злоумышленники могут использовать Regsvr32.exe для прокси-исполнения вредоносного кода. Regsvr32.exe - это программа командной строки, используемая для регистрации и снятия с регистрации элементов управления связыванием и встраиванием объектов, включая библиотеки динамических связей (DLL), в системах Windows.Двоичный файл Regsvr32.exe также может быть подписан Microsoft. (Цитата: Microsoft Regsvr32)
Вредоносное использование Regsvr32.exe может избежать срабатывания средств безопасности, которые могут не отслеживать выполнение и модули, загружаемые процессом regsvr32.exe, из-за исключений или ложных срабатываний Windows, использующей regsvr32.exe для обычных операций. Regsvr32.exe также может быть использован для специального обхода контроля приложений с помощью функции загрузки COM-скриптов для выполнения DLL под правами пользователя. Поскольку Regsvr32.exe ориентирован на работу с сетью и прокси, скрипты могут быть загружены путем передачи унифицированного локатора ресурсов (URL) файла на внешнем веб-сервере в качестве аргумента во время вызова. Этот метод не вносит изменений в реестр, поскольку COM-объект фактически не регистрируется, а только выполняется. (Цитата: LOLBAS Regsvr32) Этот вариант техники часто называют "Squiblydoo" и используют в кампаниях, направленных против правительств.(Цитата: Carbon Black Squiblydoo Apr 2016) (Цитата: FireEye Regsvr32 Targeting Mongolian Gov)
Regsvr32.exe также может быть использован для регистрации COM-объекта, используемого для установления постоянства через Component Object Model Hijacking.(Цит. по: Carbon Black Squiblydoo Apr 2016)
https://attack.mitre.org/techniques/T1218/010
Визуализация смежных техник для T1218.010
| № | Техника |
|---|
