01 定义与手法
攻击者可以通过加载共享模块来执行恶意载荷。共享模块是加载到进程中的可执行文件,以提供对可重复使用代码的访问,例如特定的自定义函数或调用OS API函数(即本机API)。
攻击者可以使用这个功能在受害系统上执行任意有效负载。例如,攻击者可以将其恶意软件的功能模块化为执行各种功能的共享对象,例如管理C2网络通信或在目标上执行特定操作。
Linux和macOS模块加载器可以从任意本地路径加载和执行共享对象。该功能驻留在dlfcn.h中的dlopen和dlsym等函数中。虽然macOS也可以执行.so文件,但一般都会使用.dylib文件。
可以指示Windows模块加载程序从任意的本地路径和任意通用命名约定(UNC)网络路径加载dll。这个功能驻留在NTDLL.dll中,是Windows Native API的一部分,在运行时从LoadLibrary等函数调用。
02 程序示例
03 缓解措施 名称 描述 执行 预防 使用能够防止加载未知模块的应用程序控制工具,识别并阻止通过该技术执行的潜在恶意软件。
04 检测方法 ID 数据来源 数据组件 检测方式 DS0011 模块 模块 加载 监控模块负载可能会产生大量数据,除非在特定情况下收集,否则一般不会用于直接防御,因为共享模块负载功能的良性正常使用很普遍,而且可能很难与恶意行为区分开来。合法软件可能只需要加载进程、或捆绑系统模块,就可以怀疑偏离已知模块负载。 限制模块加载到受信任的目录,如Windows的%SystemRoot%和%ProgramFiles%,可以防止模块从不安全的路径加载。 DS0009 进程 操作 系统 API执行 监视可能通过加载共享模块执行恶意有效负载的API调用。
**参考来源:ATT&CK,胖头鱼编译,欢迎转载,转载请注明出处,非常感谢~
关于我们 云纷科技自成立以来,就把成为交付“监测-分析-响应”完整能力闭环的下一代MSSP作为自己的使命。我们将“安全运营中心(SOC)”分层分解,以更灵活的模块化方式交付“下一代安全运营服务”;高效整合人、技术和流程。基于云原生和人工智能的安全运营平台——InsightX,为不同的企业客户提供符合现状和中远期发展的安全运营能力。 云纷希望在为客户建立运营体系的同时,结合自身对于安全的理解和知识,以“实践+数据+AI”重塑安全运营链路,最终帮助用户清晰定位威胁、降低风险,提高整体安全水平。
Comments are closed