이번 주의 규칙: 회피적 DLL 로딩 / AWL 우회

오늘, “가능한 우회성 DLL 로딩 / AWL 우회 (명령줄을 통해)” 규칙이 SOC Prime 팀에 의해 우리의 열에 추가되었습니다.”이번 주의 규칙“: https://tdm.socprime.com/tdm/info/WWzSUxrG5vxv/ASH-E3IBjwDfaYjKRX9L/?p=1

아시다시피, 애플리케이션 화이트리스트(AWL)는 사전에 승인되고 지정된 프로그램만 실행되도록 허용하는 사전 예방적 접근 방식입니다. 화이트리스트에 포함되지 않은 모든 다른 프로그램은 기본적으로 차단되므로 AWL은 종종 네트워크 내의 엔드포인트에 침투하고 실행되는 악성 코드를 차단하는 데 사용됩니다. 그러나 이것이 만병통치약은 아니며, 공격자들은 지속적으로 AWL 솔루션을 우회할 방법을 찾고 있습니다. SOC Prime 팀의 규칙은 호스트에서 우회성 DLL 로딩 또는 AWL 우회로 이어지는 악성 활동을 탐지하도록 특별히 설계되었습니다. 이 규칙은 적대자가 애플리케이션 화이트리스트를 우회하거나 COM 참조 및 관계를 하이재킹하여 합법적인 소프트웨어 대신 실행 가능한 악성 코드를 삽입하는 방식을 통해 지속성을 달성하는 때를 발견하는 데 도움을 줍니다.

이 규칙은 다음 플랫폼에 대한 번역을 제공합니다:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, ELK Stack, RSA NetWitness, Sumo Logic, Graylog, Humio, LogPoint

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

전술: 지속성, 방어 우회, 실행

기술: 구성 요소 객체 모델 하이재킹 (T1122), Rundll32 (T1085)

SOC Prime TDM을 시도할 준비가 되셨습니까? 무료로 가입하세요. 또는 위협 현상금 프로그램에 참여하세요 자신만의 콘텐츠를 만들고 TDM 커뮤니티와 공유하세요.