Regla de la Semana: Carga Evasiva de DLL / Evasión de AWL

Hoy, «Carga de DLL evasiva posible / Bypass de AWL (mediante cmdline)» lanzada por el equipo de SOC Prime cayó en nuestra columna «Regla de la Semana«: https://tdm.socprime.com/tdm/info/WWzSUxrG5vxv/ASH-E3IBjwDfaYjKRX9L/?p=1

Como saben, la lista blanca de aplicaciones (AWL) es un enfoque proactivo que permite ejecutar solo los programas preaprobados y especificados. Cualquier otro programa que no esté en la lista blanca se bloquea por defecto, por lo que AWL a menudo se usa para bloquear el malware y evitar que ingrese y se ejecute en los puntos finales dentro de una red. Sin embargo, esto no es una panacea, y los atacantes están continuamente buscando y encontrando formas de eludir las soluciones de AWL. La regla del equipo de SOC Prime está diseñada específicamente para detectar la actividad maliciosa en hosts que conduce a la carga evasiva de DLL o el bypass de AWL. Ayuda a descubrir cuando los adversarios abusan de los COM CSLIDs del registro para eludir la lista blanca de aplicaciones o insertar código malicioso que puede ser ejecutado en lugar de software legítimo a través del secuestro de las referencias y relaciones del COM como un medio de persistencia.

La regla tiene traducciones para las siguientes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, ELK Stack, RSA NetWitness, Sumo Logic, Graylog, Humio, LogPoint

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Tácticas: Persistencia, Evasión de Defensa, Ejecución

Técnicas: Secuestro del Modelo de Objetos Componentes (T1122), Rundll32 (T1085)

¿Listo para probar SOC Prime TDM? Regístrate gratis. O únete al Programa de Recompensas de Amenazas para crear tu propio contenido y compartirlo con la comunidad TDM.