威胁行为者越来越多地利用 mavinject.exe(一款 Microsoft 的合法工具)来绕过安全控制并入侵系统。
这种复杂的攻击技术使黑客能够将恶意活动隐藏在受信任的 Windows 进程背后。
mavinject.exe 是Microsoft应用程序虚拟化注入器,作为Microsoft App – V 环境的一部分,它旨在将代码注入到外部进程中。
自 Windows 10 版本 1607 起,该工具就被默认包含在系统中。由于它是Microsoft进行数字签名的工具,通常会被安全解决方案列入白名单,这使得它成为攻击者绕过检测机制的理想途径。
因为 mavinject.exe 由Microsoft进行了数字签名,通过这种方式代理执行可能会避开安全产品的检测,因为执行过程被伪装在一个合法进程之下。
技术利用方法
AhnLab报告称,攻击者主要通过两种方法滥用 mavinject.exe:
通过 / INJECTRUNNING 进行 DLL 注入
最常见的技术是使用以下命令将恶意 DLL 注入到正在运行的进程中:
这条命令会强制目标进程加载并执行任意代码。实际上,mavinject 利用了通常在恶意软件中会被标记的 Windows 应用程序编程接口(API):
1.OpenProcess:获取目标进程的句柄。
2.VirtualAllocEx:在目标进程中分配内存。
3.WriteProcessMemory:将 DLL 路径写入已分配的内存。
4.CreateRemoteThread:创建线程来加载并执行 DLL。
通过 / HMODULE 进行导入表操作
一种更为复杂的方法涉及操纵可执行文件的导入地址表:
这种方法会将由指定 DLL 组成的导入表项注入到给定基地址的模块中,从而对攻击实现更精确的控制。
就在两个月前,趋势科技的研究人员揭露了一场由 “Earth Preta”(也被称为 “Mustang Panda”)发起的复杂攻击活动,这是一个高级持续性威胁(APT)组织。
该活动主要针对亚太地区的政府机构,包括越南和马来西亚。
当在受害者系统中检测到 ESET 杀毒软件运行时,“Earth Preta” 利用 mavinject.exe 将恶意有效载荷注入到 waitfor.exe 中。这种注入技术有效地将命令与控制通信隐藏在合法进程之下。
缓解措施
安全专家建议采取以下几种应对措施:
1.监控 mavinject.exe 带 / INJECTRUNNING 和 / HMODULE 等参数的命令行执行情况。
2.部署规则来检测与 DLL 注入相关的可疑 API 调用模式。
3.如果在你的环境中不使用Microsoft App – V,考虑删除或禁用 mavinject.exe。
4.实施应用程序控制,在不需要 mavinject.exe 的地方阻止其执行。
研究人员表示:“应对高级威胁的关键在于识别那些看似正常的异常活动。”
随着威胁行为者继续利用 “利用现有资源” 的技术,防御者必须对攻击链中合法系统工具的滥用保持警惕。
发表评论
您还未登录,请先登录。
登录