Примеры обнаружения с помощью продуктов "Кода Безопасности":
Техники: T1546 , T1546.001 , T1546.002 , T1546.003 , T1546.004 , T1546.005 , T1546.006 , T1546.007 , T1546.008 , T1546.009 , T1546.010 , T1546.011 , T1546.012 , T1546.013 , T1546.014 , T1546.015 , T1546.016 , T1546.017
Злоумышленники могут установить постоянство и/или повысить привилегии, выполняя вредоносное содержимое, инициированное загруженными в процессы библиотеками AppInit DLL. Библиотеки динамической компоновки (DLL), указанные в значении AppInit_DLLs в ключах реестра HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows или HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows загружаются user32.dll в каждый процесс, который загружает user32.dll. На практике это почти каждая программа, поскольку user32.dll - очень распространенная библиотека.(Цитата: Elastic Process Injection July 2017)
Подобно Process Injection, этими значениями можно злоупотреблять для получения повышенных привилегий, заставляя вредоносную DLL загружаться и запускаться в контексте отдельных процессов на компьютере. (Цитата: AppInit Registry) Вредоносные библиотеки AppInit DLL также могут обеспечивать постоянство, постоянно вызываясь активностью API.
Функциональность AppInit DLL отключается в Windows 8 и более поздних версиях при включении безопасной загрузки.(Цитата: AppInit Secure Boot)
https://attack.mitre.org/techniques/T1546/010
Визуализация смежных техник для T1546.010
| № | Техника |
|---|
