T1218.010

Regsvr32

توضیحات

مهاجمان از regsvr32.exe برای اجرای DLL‌های مخرب و دور زدن Application Whitelisting استفاده می‌کنند. regsvr32 می‌تواند COM scriptlet‌ها را از URL‌های خارجی دانلود و اجرا کند که به این تکنیک Squiblydoo نیز گفته می‌شود.

روش‌های شناسایی

نظارت بر اجرای regsvr32 با آرگومان‌های غیرعادی. شناسایی regsvr32 با URL‌های خارجی. بررسی DLL‌های ثبت شده توسط regsvr32. تحلیل رفتار regsvr32.

روش‌های مقابله

محدود کردن regsvr32. پیاده‌سازی Application Whitelisting. نظارت بر regsvr32. استفاده از Attack Surface Reduction Rules. استفاده از EDR.

تکنیک اصلی

T1218System Binary Proxy Execution

اجرای proxy با باینری سیستمی

مهاجمان از باینری‌های امضاشده و مورد اعتماد سیستم برای اجرای payload‌های مخرب استفاده می‌کنند. این تکنیک که به عنوان Living off the Land نیز شناخته می‌شود، از ابزارهایی مانند rundll32، regsvr32، mshta، certutil و سایر ابزارهای سیستمی برای دور زدن Application Whitelisting استفاده می‌کند.

سایر زیرتکنیک‌ها (3)

T1218.003 · CMSTP T1218.005 · Mshta T1218.011 · Rundll32