图片来源: ASEC
AhnLab 安全应急响应中心(ASEC)报告称,威胁行为者滥用了 Microsoft 的一款合法实用程序 mavinject.exe,将恶意动态链接库(DLL)有效载荷注入到合法进程中。这种技术使攻击者能够绕过安全措施并隐藏他们的恶意活动。
mavinject.exe 是 Microsoft 提供的一款合法的命令行实用程序。它旨在将动态链接库(DLL)注入到应用程序虚拟化(App-V)环境中的特定进程中。自 Windows 10 1607 版本以来,该实用程序一直是 Windows 操作系统的默认组件,并且是一个由 Microsoft 签名的受信任可执行文件。因此,许多安全解决方案往往将 mavinject.exe 视为一个安全的应用程序。
ASEC 在其详细分析中指出:“威胁行为者利用这一漏洞,使用 mavinject.exe 将恶意 DLL 有效载荷注入到合法进程中。”
攻击者利用 mavinject.exe 的合法功能,将恶意 DLL 注入到良性进程中。该报告概述了 mavinject.exe 在此过程中使用的以下关键 Windows 应用程序编程接口(API):
1.OpenProcess(打开进程):检索目标进程的句柄。
2.VirtualAllocEx(在外部虚拟分配内存):在目标进程的虚拟内存空间内分配内存。
3.WriteProcessMemory(写入进程内存):将 DLL 路径写入已分配的内存中。
4.CreateRemoteThread(创建远程线程):在目标进程中创建一个新线程,并调用 LoadLibraryW 函数来加载并执行恶意 DLL。
通过使用 mavinject.exe,攻击者可以实现外部代码执行并逃避检测。
ASEC 的报告提供了威胁行为者在实际攻击中如何使用 mavinject.exe 的示例:
1.Earth Preta(Mustang Panda):已观察到这个高级持续性威胁(APT)组织使用 mavinject.exe 将恶意 DLL(如一个后门程序)注入到诸如 waitfor.exe 这样的合法进程中。
2.Lazarus Group:这个威胁组织也使用 mavinject.exe 将恶意 DLL 注入到 explorer.exe 进程中。
在这两种情况下,攻击者都利用了 mavinject.exe 是 Microsoft 合法实用程序这一事实,来绕过安全解决方案并隐藏他们的恶意活动。
ASEC的报告提出了以下检测和响应措施:
检测措施:
1.监控使用特定参数(/INJECTRUNNING、/HMODULE)的 mavinject.exe 命令行执行情况。
2.监控诸如 OpenProcess、VirtualAllocEx、WriteProcessMemory 和 CreateRemoteThread 这样的 API 调用情况。
3.追踪 LoadLibraryW 函数的调用路径,查找异常情况。
响应措施:
1.实施相关策略,在不使用应用程序虚拟化(App-V)功能时阻止 mavinject.exe 的执行。
2.制定规则以检测进程间的 DLL 注入行为。
3.定期检查正常进程中是否存在异常的 DLL 加载历史记录。
发表评论
您还未登录,请先登录。
登录