Regola della Settimana: Caricamento DLL Evasivo / Bypass AWL

[post-views]
Luglio 10, 2020 · 2 min di lettura
Regola della Settimana: Caricamento DLL Evasivo / Bypass AWL

Oggi, “Possibile Caricamento DLL Evasivo / Bypass AWL (via cmdline)” la regola rilasciata dal team SOC Prime è finita nella nostra colonna “Regola della Settimana“: https://tdm.socprime.com/tdm/info/WWzSUxrG5vxv/ASH-E3IBjwDfaYjKRX9L/?p=1

Come sapete, il whitelisting delle applicazioni (AWL) è un approccio proattivo che consente solo l’esecuzione di programmi pre-approvati e specificati. Qualsiasi altro programma non in whitelist è bloccato per impostazione predefinita, quindi l’AWL viene spesso utilizzato per bloccare l’ingresso e l’esecuzione di malware sui dispositivi endpoint all’interno di una rete. Tuttavia, questa non è una panacea e gli attaccanti cercano costantemente e trovano modi per aggirare le soluzioni AWL. La regola del Team SOC Prime è progettata specificamente per rilevare l’attività malevola sugli host che conduce al caricamento evasivo delle DLL o al bypass dell’AWL. Aiuta a scoprire quando gli avversari abusano dei COM CLSID nel registro per aggirare il whitelisting delle applicazioni o inseriscono codice malevolo che può essere eseguito al posto del software legittimo dirottando i riferimenti e le relazioni COM come mezzo di persistenza.

La regola ha traduzioni per le seguenti piattaforme:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, ELK Stack, RSA NetWitness, Sumo Logic, Graylog, Humio, LogPoint

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

 

MITRE ATT&CK: 

Tattiche: Persistenza, Evasione della Difesa, Esecuzione

Tecniche: Dirottamento del Modello a Oggetti Componenti (T1122), Rundll32 (T1085)

 

Pronto a provare SOC Prime TDM? Registrati gratuitamente. Oppure unisciti al Programma Threat Bounty per creare i tuoi contenuti e condividerli con la comunità TDM.

Questo articolo è stato utile?

Metti mi piace e condividilo con i tuoi colleghi.
Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e ottenere valore immediato, prenota ora un incontro con gli esperti di SOC Prime.

Articoli correlati