ATT&CK-CN V1.0 Last Update: 2019-03 [返回索引页]

译者: 林妙倩(清华大学网络研究院网络空间安全实习生) 原创翻译作品,如果需要转载请取得翻译作者同意。

数据来源:ATT&CK Matrices

原文: https://attack.mitre.org/techniques/T1117

术语表: /attack/glossary

Regsvr32

Regsvr32.exe 是一个命令行程序,用于在 Windows 系统上注册和取消注册对象链接和嵌入控件,包括动态链接库 (DLLs)。 Regsvr32.exe 可用于执行任意二进制文件。

攻击者可以利用此功能来代理代码的执行,以避免触发安全工具,由于 Windows 使用 regsvr32.exe 进行正常操作时的白名单或误报,这些工具可能无法监视 regsvr32.exe 进程的执行和加载的模块。 Regsvr32.exe 也是 Microsoft 签名的二进制文件。 Regsvr32.exe 还可以利用加载 COM scriptlet 以在用户权限下执行 DLL 的功能来绕过进程白名单。 由于 regsvr32.exe 支持网络和代理,因此可以通过在调用期间将统一资源定位符 (URL) 作为参数传递到外部 Web 服务器上的文件来加载脚本。 此方法不对注册表做任何更改,因为 COM 对象实际未注册,仅执行。 该技术的变体通常被称为“Squiblydoo”攻击,并已用于针对政府的活动中。

还可以利用 Regsvr32.exe 来注册用于通过组件对象模型劫持(Component Object Model Hijacking)建立持久性的 COM 对象。

缓解

Microsoft的增强缓解经验工具包 (EMET) 的攻击表面减少 (ASR) 功能可以用来阻止利用 regsvr32.exe 绕过白名单。

检测

使用进程监控来监控 regsvr32.exe 的执行和参数。 将 regsvr32.exe 最近的调用与之前的已知良好参数和被加载的文件进行比较,以确定异常和潜在的攻击活动。 regsvr32.exe 调用前后使用的命令参数也可能有助于确定执行的二进制文件的来源和目的。