AppInit_DLLs
Qu'est-ce que AppInit_DLLs ?
AppInit_DLLsTechnique de persistance Windows historique qui abuse d'une valeur du registre pour faire charger une DLL spécifiée dans tout processus utilisateur liant user32.dll.
L'abus d'AppInit_DLLs (MITRE ATT&CK T1546.010) vise HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (et son jumeau WOW6432Node). Quand LoadAppInit_DLLs vaut 1, le chargeur de user32.dll mappe toute DLL listée dans AppInit_DLLs dans chaque processus liant user32.dll, soit la majorité des applications interactives. Une seule écriture registre suffit à obtenir une exécution massive et persistante. Depuis Windows 8, Secure Boot désactive AppInit_DLLs sauf si la DLL est signée et que les exigences sont assouplies, mais la technique persiste sur les hôtes anciens ou mal configurés. Défenses : maintenir Secure Boot activé, exiger des DLL signées, baseline via Autoruns et alertes Sysmon sur les modifications.
● Exemples
- 01
Ajouter une DLL malveillante à AppInit_DLLs sur un serveur Windows 7 pour journaliser les frappes dans tous les processus.
- 02
Associer AppInit_DLLs à Secure Boot désactivé pour déployer un rootkit en espace utilisateur.
● Questions fréquentes
Qu'est-ce que AppInit_DLLs ?
Technique de persistance Windows historique qui abuse d'une valeur du registre pour faire charger une DLL spécifiée dans tout processus utilisateur liant user32.dll. Cette notion relève de la catégorie Attaques et menaces en cybersécurité.
Que signifie AppInit_DLLs ?
Technique de persistance Windows historique qui abuse d'une valeur du registre pour faire charger une DLL spécifiée dans tout processus utilisateur liant user32.dll.
Comment fonctionne AppInit_DLLs ?
L'abus d'AppInit_DLLs (MITRE ATT&CK T1546.010) vise HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (et son jumeau WOW6432Node). Quand LoadAppInit_DLLs vaut 1, le chargeur de user32.dll mappe toute DLL listée dans AppInit_DLLs dans chaque processus liant user32.dll, soit la majorité des applications interactives. Une seule écriture registre suffit à obtenir une exécution massive et persistante. Depuis Windows 8, Secure Boot désactive AppInit_DLLs sauf si la DLL est signée et que les exigences sont assouplies, mais la technique persiste sur les hôtes anciens ou mal configurés. Défenses : maintenir Secure Boot activé, exiger des DLL signées, baseline via Autoruns et alertes Sysmon sur les modifications.
Comment se défendre contre AppInit_DLLs ?
Les défenses contre AppInit_DLLs combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de AppInit_DLLs ?
Noms alternatifs courants : Injection AppInit DLL, Persistance AppInit user32.
● Termes liés
- attacks№ 331
Détournement de DLL
Attaque qui abuse de l'ordre de recherche des DLL de Windows pour qu'un programme légitime charge une bibliothèque contrôlée par l'attaquant au lieu de la bibliothèque attendue.
- attacks№ 200
Détournement COM
Technique de persistance qui redirige la résolution d'un CLSID Windows Component Object Model vers du code attaquant, exécuté à chaque instanciation de l'objet.
- attacks№ 515
Injection IFEO
Technique de persistance et d'élévation de privilèges qui abuse de la clé Image File Execution Options de Windows pour exécuter du code attaquant à chaque lancement d'un exécutable cible.
- attacks№ 914
Persistance par clé Run du registre
Technique classique de persistance Windows qui ajoute une entrée sous une clé Run ou RunOnce afin d'exécuter un binaire ou un script à chaque ouverture de session.
- attacks№ 1246
Persistance par souscription d'événement WMI
Technique de persistance qui enregistre un filtre et un consommateur d'événements WMI permanents pour exécuter du code attaquant lors d'un événement système choisi.
- attacks№ 610
Détournement LD_PRELOAD
Technique Linux de persistance et de détournement de bibliothèque qui exploite la variable LD_PRELOAD ou /etc/ld.so.preload pour injecter du code dans les processus liés dynamiquement.