AppInit_DLLs
Что такое AppInit_DLLs?
AppInit_DLLsУстаревшая техника закрепления в Windows, использующая значение реестра для загрузки указанной DLL в каждый пользовательский процесс, связанный с user32.dll.
Злоупотребление AppInit_DLLs (MITRE ATT&CK T1546.010) затрагивает HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (и WOW6432Node-аналог). Когда LoadAppInit_DLLs равен 1, загрузчик user32.dll проецирует любую DLL из этого списка в каждый процесс, связанный с user32.dll, — практически во все интерактивные приложения. Один лишь правка реестра даёт злоумышленнику обширное исполнение и закрепление. С Windows 8 Secure Boot отключает AppInit_DLLs, если DLL не подписана и требования к подписям не ослаблены, однако в устаревших или плохо настроенных системах техника всё ещё встречается. Защита: оставлять Secure Boot включённым, требовать подпись DLL, базовый снимок Autoruns и оповещения Sysmon по записям реестра.
● Примеры
- 01
Добавление пути вредоносной DLL в AppInit_DLLs на сервере Windows 7 для регистрации нажатий клавиш во всех процессах.
- 02
Комбинация AppInit_DLLs с отключённым Secure Boot для развёртывания пользовательского руткита.
● Частые вопросы
Что такое AppInit_DLLs?
Устаревшая техника закрепления в Windows, использующая значение реестра для загрузки указанной DLL в каждый пользовательский процесс, связанный с user32.dll. Относится к категории Атаки и угрозы в кибербезопасности.
Что означает AppInit_DLLs?
Устаревшая техника закрепления в Windows, использующая значение реестра для загрузки указанной DLL в каждый пользовательский процесс, связанный с user32.dll.
Как работает AppInit_DLLs?
Злоупотребление AppInit_DLLs (MITRE ATT&CK T1546.010) затрагивает HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (и WOW6432Node-аналог). Когда LoadAppInit_DLLs равен 1, загрузчик user32.dll проецирует любую DLL из этого списка в каждый процесс, связанный с user32.dll, — практически во все интерактивные приложения. Один лишь правка реестра даёт злоумышленнику обширное исполнение и закрепление. С Windows 8 Secure Boot отключает AppInit_DLLs, если DLL не подписана и требования к подписям не ослаблены, однако в устаревших или плохо настроенных системах техника всё ещё встречается. Защита: оставлять Secure Boot включённым, требовать подпись DLL, базовый снимок Autoruns и оповещения Sysmon по записям реестра.
Как защититься от AppInit_DLLs?
Защита от AppInit_DLLs обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия AppInit_DLLs?
Распространённые альтернативные названия: Инъекция AppInit DLL, Закрепление через user32 AppInit.
● Связанные термины
- attacks№ 331
Перехват DLL
Атака, использующая порядок поиска DLL в Windows, чтобы легитимная программа загрузила подконтрольную злоумышленнику библиотеку вместо нужной.
- attacks№ 200
Перехват COM
Техника закрепления, перенаправляющая разрешение CLSID Windows Component Object Model на код злоумышленника, который выполняется при каждой инстанциации объекта.
- attacks№ 515
Внедрение через IFEO
Техника закрепления и повышения привилегий, использующая раздел реестра Image File Execution Options для запуска кода злоумышленника при старте целевого исполняемого файла.
- attacks№ 914
Закрепление через раздел Run реестра
Классическая техника закрепления в Windows, добавляющая запись в раздел реестра Run или RunOnce для запуска бинарника или скрипта при каждом входе пользователя.
- attacks№ 1246
Закрепление через подписку WMI
Техника закрепления, регистрирующая постоянный WMI-фильтр и потребитель события, чтобы код злоумышленника запускался при выбранном системном событии.
- attacks№ 610
Перехват через LD_PRELOAD
Техника закрепления и подмены библиотек в Linux, использующая переменную LD_PRELOAD или /etc/ld.so.preload для внедрения кода в процессы с динамической компоновкой.