Техники: T1218 , T1218.001 , T1218.002 , T1218.003 , T1218.004 , T1218.005 , T1218.007 , T1218.008 , T1218.009 , T1218.010 , T1218.011 , T1218.012 , T1218.013 , T1218.014 , T1218.015
Злоумышленники могут использовать mavinject.exe для прокси-исполнения вредоносного кода.Mavinject.exe - это Microsoft Application Virtualization Injector, утилита Windows, которая может внедрять код во внешние процессы в рамках Microsoft Application Virtualization (App-V).(Цитата: LOLBAS Mavinject)
Злоумышленники могут использовать mavinject.exe для внедрения вредоносных DLL в запущенные процессы (например, Dynamic-link Library Injection, что позволяет выполнить произвольный код (например, C:\Windows\system32\mavinject.exe PID /INJECTRUNNING PATH_DLL).(Цитата: ATT Lazarus TTP Evolution)(Цитата: Reaqta Mavinject) Поскольку mavinject.exe может быть подписан цифровой подписью Microsoft, проксирование выполнения с помощью этого метода может избежать обнаружения продуктами безопасности, поскольку выполнение маскируется под легитимный процесс.
В дополнение к Dynamic-link Library Injection, Mavinject.exe также может быть использован для выполнения инъекции дескрипторов импорта через параметр командной строки /HMODULE (например, mavinject.exe PID /HMODULE=BASE_ADDRESS PATH_DLL ORDINAL_NUMBER).Эта команда инжектирует запись таблицы импорта, состоящую из указанной DLL, в модуль по заданному базовому адресу.(Цитата: Mavinject Functionality Deconstructed)
https://attack.mitre.org/techniques/T1218/013
Визуализация смежных техник для T1218.013
| № | Техника |
|---|
