今週のルール: 回避的DLLロード / AWL回避

今日、「可能な回避DLL読み込み/AWL回避（コマンドライン経由）」規則は、SOC Primeチームによってリリースされ、私たちのコラム「今週のルール“: https://tdm.socprime.com/tdm/info/WWzSUxrG5vxv/ASH-E3IBjwDfaYjKRX9L/?p=1

ご存じのように、アプリケーションのホワイトリスト化（AWL）は、あらかじめ承認され指定されたプログラムのみの実行を許可するプロアクティブなアプローチです。それ以外のプログラムはホワイトリストにない限り、デフォルトでブロックされるため、AWLはネットワーク内のエンドポイントにマルウェアが侵入・実行されることを防ぐためによく使用されます。しかし、これは万能薬ではなく、攻撃者は常にAWLソリューションを回避する方法を探し出しています。このSOC Primeチームのルールは、ホスト上での回避DLL読み込みやAWL回避につながる悪意ある活動を特定するために特化されています。攻撃者がレジストリCOM CSLIDを悪用してアプリケーションのホワイトリストを回避したり、持続性を目的にCOM参照や関係をハイジャックすることにより正規ソフトウェアに代わりに悪意あるコードを挿入し実行させるのを明らかにするのに役立ちます。

このルールは以下のプラットフォームに対して翻訳されています：

SIEM：Azure Sentinel、ArcSight、QRadar、Splunk、ELK Stack、RSA NetWitness、Sumo Logic、Graylog、Humio、LogPoint

EDR：Microsoft Defender ATP、Carbon Black、Elastic Endpoint

MITRE ATT&CK: 

戦術：持続性、防御回避、実行

技術：コンポーネントオブジェクトモデルのハイジャック（T1122）、Rundll32（T1085）

SOC Prime TDMを試してみますか？ 無料でサインアップまたは Threat Bounty Programに参加 して、自分のコンテンツを作成し、TDMコミュニティと共有しましょう。