Hoje, “Carregamento Evasivo de DLL Possível / Bypass de AWL (via cmdline)” lançada pela equipe do SOC Prime caiu na nossa coluna “Regra da Semana“: https://tdm.socprime.com/tdm/info/WWzSUxrG5vxv/ASH-E3IBjwDfaYjKRX9L/?p=1
Como você sabe, a lista branca de aplicativos (AWL) é uma abordagem proativa que permite apenas a execução de programas pré-aprovados e especificados. Qualquer outro programa não listado é bloqueado por padrão, portanto, o AWL é frequentemente usado para bloquear a entrada e execução de malware em terminais dentro de uma rede. No entanto, isso não é uma panaceia, e os atacantes estão constantemente procurando e encontrando maneiras de contornar as soluções AWL. A regra da equipe SOC Prime é projetada especificamente para detectar a atividade maliciosa em hosts levando ao carregamento evasivo de DLL ou bypass de AWL. Ajuda a descobrir quando adversários abusam do registro COM CSLIDs para contornar a lista branca de aplicativos ou inserem código malicioso que pode ser executado no lugar de software legítimo por meio do sequestro das referências e relacionamentos do COM como meio de persistência.
A regra possui traduções para as seguintes plataformas:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, ELK Stack, RSA NetWitness, Sumo Logic, Graylog, Humio, LogPoint
EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint
MITRE ATT&CK:
Táticas: Persistência, Evasão de Defesa, Execução
Técnicas: Sequestro do Modelo de Objeto Componente (T1122), Rundll32 (T1085)
Pronto para experimentar o SOC Prime TDM? Cadastre-se gratuitamente. Ou junte-se ao Programa de Recompensas de Ameaças para criar seu próprio conteúdo e compartilhá-lo com a comunidade TDM.
