ATT&CK-CN V1.01 Last Update: 2019-11 [返回索引页]

译者: 林妙倩(清华大学网络研究院网络空间安全实习生)、戴亦仑(赛宁网安) 原创翻译作品,如果需要转载请取得翻译作者同意。

数据来源:ATT&CK Matrices

原文: https://attack.mitre.org/techniques/T1121

术语表: /attack/glossary

Regsvcs/Regasm

Regsvcs 和 Regasm 是 Windows 命令行实用程序,用于注册。NET 组件对象模型 (COM) 程序集。 两者都是由 Microsoft 进行数字签名的。

攻击者可以使用 Regsvcs 和 Regasm 通过受信任的 Windows 实用程序代理代码的执行。 这两个实用程序都可以通过使用二进制文件中的属性来指定在注册或取消注册前应运行的代码,从而绕过白名单: 分别为 [ComRegisterFunction] 和 [ComUnregisterFunction]。 具有注册和取消注册属性的代码将被执行,即使进程在权限不足的情况下运行且无法执行。

缓解

在给定的环境中,Regsvcs 和 Regasm 可能不是必需的。 如果一个给定的系统或网络不需要 regsvc.exe 和 regas.exe, 拦截它们的执行以避免攻击者潜在的滥用。

检测

使用进程监视来监视 Regsvcs.exe 和 Regasm.exe 的执行和参数。 将 Regsvcs.exe 和 Regasm.exe 的最近调用与之前已知良好参数的调用和已执行的二进制文件进行比较,以确定异常和潜在的攻击活动。 在 Regsvcs.exe 或 Regasm.exe 前后使用的命令参数也可能有助于确定执行的二进制文件的来源和目的。