Règle de la semaine : Chargement furtif de DLL / Contournement d’AWL

Aujourd’hui, « Chargement DLL évasif possible / Contournement AWL (via cmdline) » règle publiée par l’équipe SOC Prime est tombée dans notre colonne « Règle de la Semaine« : https://tdm.socprime.com/tdm/info/WWzSUxrG5vxv/ASH-E3IBjwDfaYjKRX9L/?p=1

Comme vous le savez, le contrôle d’application (AWL) est une approche proactive qui permet uniquement l’exécution des programmes pré-approuvés et spécifiés. Tout autre programme non répertorié est bloqué par défaut, de sorte que l’AWL est souvent utilisé pour empêcher les logiciels malveillants de pénétrer et de s’exécuter sur les points d’extrémité au sein d’un réseau. Cependant, ce n’est pas une panacée, et les attaquants cherchent constamment et trouvent des moyens de contourner les solutions AWL. La règle de l’équipe SOC Prime est conçue spécifiquement pour détecter l’activité malveillante sur les hôtes conduisant à un chargement DLL évasif ou à un contournement AWL. Elle aide à découvrir quand des adversaires abusent des CLSID COM du registre pour contourner le contrôle d’application ou insérer du code malveillant pouvant être exécuté à la place d’un logiciel légitime en détournant les références COM et les relations comme un moyen de persistance.

La règle a des traductions pour les plateformes suivantes :

SIEM : Azure Sentinel, ArcSight, QRadar, Splunk, ELK Stack, RSA NetWitness, Sumo Logic, Graylog, Humio, LogPoint

EDR : Microsoft Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK : 

Tactiques : Persistance, Évasion de Défense, Exécution

Techniques : Détournement de modèle d’objet composant (T1122), Rundll32 (T1085)

Prêt à essayer SOC Prime TDM ? Inscrivez-vous gratuitement. Ou rejoignez le Programme de Prime de Menace pour créer votre propre contenu et le partager avec la communauté TDM.