MITRE ATT&CK - Техника DLL-библиотеки загружаемые с помощью Netsh

Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

Наш канал

Event Triggered Execution: DLL-библиотеки загружаемые с помощью Netsh

Other sub-techniques of Event Triggered Execution (16)

ID	Название
.001	Замена ПО по умолчанию для запуска файла
.002	Экранная заставка
.003	Подписка на события WMI
.004	.bash_profile и .bashrc
.005	Команда trap
.006	Добавление LC_LOAD_DYLIB
.007	DLL-библиотеки загружаемые с помощью Netsh
.008	Специальные возможности
.009	DLL-библиотеки AppCert
.010	DLL-библиотеки AppInit
.011	Оболочка совместимости приложений
.012	Изменение IFEO
.013	Профиль PowerShell
.014	Демон мониторинга событий emond
.015	Перехват COM-объектов
.016	Установщики

Adversaries may establish persistence by executing malicious content triggered by Netsh Helper DLLs. Netsh.exe (also referred to as Netshell) is a command-line scripting utility used to interact with the network configuration of a system. It contains functionality to add helper DLLs for extending functionality of the utility.(Citation: TechNet Netsh) The paths to registered netsh.exe helper DLLs are entered into the Windows Registry at HKLM\SOFTWARE\Microsoft\Netsh. Adversaries can use netsh.exe helper DLLs to trigger execution of arbitrary code in a persistent manner. This execution would take place anytime netsh.exe is executed, which could happen automatically, with another persistence technique, or if other software (ex: VPN) is present on the system that executes netsh.exe as part of its normal functionality.(Citation: Github Netsh Helper CS Beacon)(Citation: Demaske Netsh Persistence)

ID: T1546.007

Относится к технике: T1546

Тактика(-и): Persistence, Privilege Escalation

Платформы: Windows

Требуемые разрешения: Administrator, SYSTEM

Источники данных: Command: Command Execution, Module: Module Load, Process: Process Creation, Windows Registry: Windows Registry Key Modification

Версия: 1.0

Дата создания: 24 Jan 2020

Последнее изменение: 20 Apr 2022

Название	Описание
Примеры процедур
netsh	netsh can be used as a persistence proxy technique to execute a helper DLL when netsh.exe is executed.(Citation: Demaske Netsh Persistence)

Обнаружение

It is likely unusual for netsh.exe to have any child processes in most environments. Monitor process executions and investigate any child processes spawned by netsh.exe for malicious behavior. Monitor the HKLM\SOFTWARE\Microsoft\Netsh registry key for any new or suspicious entries that do not correlate with known system files or benign software.(Citation: Demaske Netsh Persistence)

Ссылки

Связанные риски

Ничего не найдено

Каталоги

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.