AppInit_DLLs
O que é AppInit_DLLs?
AppInit_DLLsTécnica legada de persistência no Windows que abusa de um valor do registo para carregar uma DLL específica em todos os processos de utilizador que ligam ao user32.dll.
O abuso de AppInit_DLLs (MITRE ATT&CK T1546.010) visa HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (e o gémeo em WOW6432Node). Quando LoadAppInit_DLLs está a 1, o carregador do user32.dll mapeia qualquer DLL listada em AppInit_DLLs em cada processo que liga ao user32.dll, ou seja, a maioria das aplicações interativas. Uma única escrita no registo dá ao atacante execução ampla e persistência. Desde o Windows 8, o Secure Boot desativa AppInit_DLLs salvo se a DLL for assinada e os requisitos forem relaxados, mas a técnica ainda surge em hosts antigos ou mal configurados. Defesas: manter Secure Boot ativo, exigir DLL assinadas, baseline com Autoruns e alertas Sysmon sobre alterações.
● Exemplos
- 01
Adicionar uma DLL maliciosa a AppInit_DLLs num servidor Windows 7 para registar teclas em todos os processos.
- 02
Combinar AppInit_DLLs com Secure Boot desativado para implantar um rootkit em modo utilizador.
● Perguntas frequentes
O que é AppInit_DLLs?
Técnica legada de persistência no Windows que abusa de um valor do registo para carregar uma DLL específica em todos os processos de utilizador que ligam ao user32.dll. Pertence à categoria Ataques e ameaças da cibersegurança.
O que significa AppInit_DLLs?
Técnica legada de persistência no Windows que abusa de um valor do registo para carregar uma DLL específica em todos os processos de utilizador que ligam ao user32.dll.
Como funciona AppInit_DLLs?
O abuso de AppInit_DLLs (MITRE ATT&CK T1546.010) visa HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (e o gémeo em WOW6432Node). Quando LoadAppInit_DLLs está a 1, o carregador do user32.dll mapeia qualquer DLL listada em AppInit_DLLs em cada processo que liga ao user32.dll, ou seja, a maioria das aplicações interativas. Uma única escrita no registo dá ao atacante execução ampla e persistência. Desde o Windows 8, o Secure Boot desativa AppInit_DLLs salvo se a DLL for assinada e os requisitos forem relaxados, mas a técnica ainda surge em hosts antigos ou mal configurados. Defesas: manter Secure Boot ativo, exigir DLL assinadas, baseline com Autoruns e alertas Sysmon sobre alterações.
Como se defender contra AppInit_DLLs?
As defesas contra AppInit_DLLs costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para AppInit_DLLs?
Nomes alternativos comuns: Injeção AppInit DLL, Persistência AppInit user32.
● Termos relacionados
- attacks№ 331
Sequestro de DLL
Ataque que abusa da ordem de busca de DLL no Windows para fazer um programa legítimo carregar uma biblioteca controlada pelo atacante em vez da pretendida.
- attacks№ 200
Sequestro COM
Técnica de persistência que redireciona a resolução de um CLSID do Component Object Model do Windows para código do atacante, executado sempre que o objeto é instanciado.
- attacks№ 515
Injeção IFEO
Técnica de persistência e elevação de privilégios que abusa da chave de registo Image File Execution Options do Windows para executar código quando um executável-alvo é iniciado.
- attacks№ 914
Persistência por chave Run do registo
Técnica clássica de persistência do Windows que adiciona uma entrada numa chave Run ou RunOnce do registo para executar um binário ou script sempre que o utilizador inicia sessão.
- attacks№ 1246
Persistência por subscrição de eventos WMI
Técnica de persistência que regista um filtro e um consumidor permanentes de eventos WMI para executar código do atacante quando ocorre um evento do sistema escolhido.
- attacks№ 610
Sequestro via LD_PRELOAD
Técnica Linux de persistência e sequestro de bibliotecas que usa a variável LD_PRELOAD ou /etc/ld.so.preload para injetar código do atacante em processos ligados dinamicamente.