Примеры обнаружения с помощью продуктов "Кода Безопасности":
Техники: T1546 , T1546.001 , T1546.002 , T1546.003 , T1546.004 , T1546.005 , T1546.006 , T1546.007 , T1546.008 , T1546.009 , T1546.010 , T1546.011 , T1546.012 , T1546.013 , T1546.014 , T1546.015 , T1546.016 , T1546.017
Злоумышленники могут установить постоянство, выполняя вредоносное содержимое, запускаемое библиотеками Netsh Helper DLL. Netsh.exe (также называемый Netshell) - это утилита командной строки, используемая для взаимодействия с сетевой конфигурацией системы. Она содержит функции добавления вспомогательных DLL для расширения функциональности утилиты.(Цитата: TechNet Netsh) Пути к зарегистрированным вспомогательным DLL netsh.exe прописываются в реестре Windows по адресу HKLM\SOFTWARE\Microsoft\Netsh.
Злоумышленники могут использовать вспомогательные DLL-библиотеки netsh.exe, чтобы инициировать постоянное выполнение произвольного кода.Такое выполнение будет происходить в любое время, когда выполняется netsh.exe, что может происходить автоматически, с помощью другой техники персистентности, или если в системе присутствует другое программное обеспечение (например, VPN), которое выполняет netsh.exe как часть своей обычной функциональности.(Цитата: Github Netsh Helper CS Beacon)(Цитата: Demaske Netsh Persistence)
https://attack.mitre.org/techniques/T1546/007
Визуализация смежных техник для T1546.007
| № | Техника |
|---|
