译者: 林妙倩、戴亦仑 原创翻译作品,如果需要转载请取得翻译作者同意。
数据来源:ATT&CK Matrices
原文: https://attack.mitre.org/techniques/T1182
术语表: /attack/glossary
注册表键 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager
中的 AppCertDLLs 值指定的动态链接库 (DLL) 会被加载到每个调用常用的应用程序编程接口 (API) 函数的进程中:
使用能够审核和/或拦截未知 DLL 的白名单 工具(如 AppLocker, )识别并拦截可能通过 AppCert DLL 执行的潜在恶意软件。
通过进程监视 DLL 的加载,尤其是查找无法识别或未正常加载到进程中的 DLL。 监视 AppCertDLLs 注册表值,以查找与已知软件、补丁周期等不相关的修改。监视和分析标志着注册表编辑的应用程序编程接口 (API) 调用,如 RegCreateKeyEx 和 RegSetValueEx。
诸如 Sysinternals Autoruns 之类的工具可能会将 AppCert DLL 视为自动启动位置。
查找可能由于加载恶意 DLL 的进程而导致的异常进程行为。 不应孤立地看待数据和事件,而应将其视为可能导致其他活动的行为链的一部分,例如为命令与控制建立网络连接、通过披露(Discovery)了解环境细节以及横向移动。