Regel der Woche: Verschleiertes DLL-Laden / AWL-Umgehung

Heute hat die „Mögliche ausweichende DLL-Ladung / AWL-Umgehung (über cmdline)„-Regel des SOC Prime-Teams unsere Kategorie „Regel der Woche„: https://tdm.socprime.com/tdm/info/WWzSUxrG5vxv/ASH-E3IBjwDfaYjKRX9L/?p=1

Wie Sie wissen, ist die Anwendung von Whitelisting (AWL) ein proaktiver Ansatz, bei dem nur vorab genehmigte und spezifizierte Programme ausgeführt werden dürfen. Jedes andere nicht auf der Whitelist stehende Programm wird standardmäßig blockiert, sodass AWL häufig verwendet wird, um Malware daran zu hindern, in Netzwerkeinstiegspunkte einzudringen und sich auszuführen. Dies ist jedoch kein Allheilmittel, und Angreifer suchen ständig nach Möglichkeiten, AWL-Lösungen zu umgehen. Die Regel vom SOC Prime-Team ist speziell dazu entwickelt, böswillige Aktivitäten auf Hosts zu erkennen, die zu einer ausweichenden DLL-Ladung oder AWL-Umgehung führen. Sie hilft dabei, aufzudecken, wann Gegner Registry-COM-CSLIDs missbrauchen, um Anwendung von Whitelisting zu umgehen, oder bösartigen Code einzufügen, der anstelle legitimer Software durch die Kom-Referenzen und -Beziehungen hijacking ausgeführt werden kann, als Mittel zur Persistenz.

Die Regel hat Übersetzungen für die folgenden Plattformen:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, ELK Stack, RSA NetWitness, Sumo Logic, Graylog, Humio, LogPoint

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Taktiken: Persistenz, Abwehrumgehung, Ausführung

Techniken: Component Object Model Hijacking (T1122), Rundll32 (T1085)

Bereit, SOC Prime TDM auszuprobieren? Melden Sie sich kostenlos an. Oder treten Sie dem Threat-Bounty-Programm bei , um Ihre eigenen Inhalte zu erstellen und mit der TDM-Community zu teilen.