Regra da Semana: Carregamento Evasivo de DLL / Bypass de AWL

Hoje, “Carregamento Evasivo de DLL Possível / Bypass de AWL (via cmdline)” lançada pela equipe do SOC Prime caiu na nossa coluna “Regra da Semana“: https://tdm.socprime.com/tdm/info/WWzSUxrG5vxv/ASH-E3IBjwDfaYjKRX9L/?p=1

Como você sabe, a lista branca de aplicativos (AWL) é uma abordagem proativa que permite apenas a execução de programas pré-aprovados e especificados. Qualquer outro programa não listado é bloqueado por padrão, portanto, o AWL é frequentemente usado para bloquear a entrada e execução de malware em terminais dentro de uma rede. No entanto, isso não é uma panaceia, e os atacantes estão constantemente procurando e encontrando maneiras de contornar as soluções AWL. A regra da equipe SOC Prime é projetada especificamente para detectar a atividade maliciosa em hosts levando ao carregamento evasivo de DLL ou bypass de AWL. Ajuda a descobrir quando adversários abusam do registro COM CSLIDs para contornar a lista branca de aplicativos ou inserem código malicioso que pode ser executado no lugar de software legítimo por meio do sequestro das referências e relacionamentos do COM como meio de persistência.

A regra possui traduções para as seguintes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, ELK Stack, RSA NetWitness, Sumo Logic, Graylog, Humio, LogPoint

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Táticas: Persistência, Evasão de Defesa, Execução

Técnicas: Sequestro do Modelo de Objeto Componente (T1122), Rundll32 (T1085)

Pronto para experimentar o SOC Prime TDM? Cadastre-se gratuitamente. Ou junte-se ao Programa de Recompensas de Ameaças para criar seu próprio conteúdo e compartilhá-lo com a comunidade TDM.