AppInit_DLLs
Was ist AppInit_DLLs?
AppInit_DLLsLegacy-Windows-Persistenztechnik, die einen Registry-Wert missbraucht, damit eine angegebene DLL in jeden Benutzerprozess geladen wird, der user32.dll bindet.
AppInit_DLLs-Missbrauch (MITRE ATT&CK T1546.010) zielt auf HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (plus WOW6432Node-Pendant). Bei LoadAppInit_DLLs=1 lädt der user32.dll-Loader jede dort gelistete DLL in jeden Prozess, der user32.dll bindet – also praktisch alle interaktiven Anwendungen. Mit einem einzigen Registry-Schreibvorgang erhält ein Angreifer breite Codeausführung und Persistenz. Seit Windows 8 deaktiviert Secure Boot AppInit_DLLs, sofern die DLL nicht signiert und die Signaturanforderungen gelockert sind; auf Legacy- oder fehlkonfigurierten Hosts taucht die Technik jedoch weiterhin auf. Abwehr: Secure Boot aktiviert lassen, signierte DLLs verlangen, Baseline per Autoruns, Sysmon-Registry-Alarme.
● Beispiele
- 01
Eintrag einer schädlichen DLL in AppInit_DLLs auf einem Windows-7-Server, um Tastatureingaben prozessübergreifend zu protokollieren.
- 02
Kombination von AppInit_DLLs mit deaktiviertem Secure Boot zur Bereitstellung eines Userland-Rootkits.
● Häufige Fragen
Was ist AppInit_DLLs?
Legacy-Windows-Persistenztechnik, die einen Registry-Wert missbraucht, damit eine angegebene DLL in jeden Benutzerprozess geladen wird, der user32.dll bindet. Es gehört zur Kategorie Angriffe und Bedrohungen der Cybersicherheit.
Was bedeutet AppInit_DLLs?
Legacy-Windows-Persistenztechnik, die einen Registry-Wert missbraucht, damit eine angegebene DLL in jeden Benutzerprozess geladen wird, der user32.dll bindet.
Wie funktioniert AppInit_DLLs?
AppInit_DLLs-Missbrauch (MITRE ATT&CK T1546.010) zielt auf HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (plus WOW6432Node-Pendant). Bei LoadAppInit_DLLs=1 lädt der user32.dll-Loader jede dort gelistete DLL in jeden Prozess, der user32.dll bindet – also praktisch alle interaktiven Anwendungen. Mit einem einzigen Registry-Schreibvorgang erhält ein Angreifer breite Codeausführung und Persistenz. Seit Windows 8 deaktiviert Secure Boot AppInit_DLLs, sofern die DLL nicht signiert und die Signaturanforderungen gelockert sind; auf Legacy- oder fehlkonfigurierten Hosts taucht die Technik jedoch weiterhin auf. Abwehr: Secure Boot aktiviert lassen, signierte DLLs verlangen, Baseline per Autoruns, Sysmon-Registry-Alarme.
Wie schützt man sich gegen AppInit_DLLs?
Schutzmaßnahmen gegen AppInit_DLLs kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für AppInit_DLLs?
Übliche alternative Bezeichnungen: AppInit-DLL-Injection, user32 AppInit-Persistenz.
● Verwandte Begriffe
- attacks№ 331
DLL-Hijacking
Angriff, der die DLL-Suchreihenfolge von Windows missbraucht, damit ein legitimes Programm eine vom Angreifer kontrollierte Bibliothek anstelle der vorgesehenen lädt.
- attacks№ 200
COM-Hijacking
Persistenztechnik, die die CLSID-Auflösung des Windows Component Object Model auf Angreifercode umleitet und diesen bei jeder Objektinstanziierung ausführt.
- attacks№ 515
IFEO-Injection
Persistenz- und Privilegieneskalationstechnik, die den Windows-Registry-Schlüssel Image File Execution Options missbraucht, um beim Start eines Ziel-Executables Angreifercode auszuführen.
- attacks№ 914
Run-Schlüssel-Persistenz
Klassische Windows-Persistenztechnik, die einen Eintrag unter einem Run- oder RunOnce-Registry-Schlüssel anlegt, damit ein Binary oder Skript bei jedem Logon ausgeführt wird.
- attacks№ 1246
WMI-Event-Subscription-Persistenz
Persistenztechnik, die einen permanenten WMI-Event-Filter und -Consumer registriert, sodass Angreifercode bei einem definierten Systemereignis ausgeführt wird.
- attacks№ 610
LD_PRELOAD-Hijacking
Linux-Persistenz- und Library-Hijacking-Technik, die die Umgebungsvariable LD_PRELOAD oder /etc/ld.so.preload nutzt, um Angreifercode in dynamisch gelinkte Prozesse zu injizieren.