Los actores de amenaza están aprovechando cada vez más Mavinject.exe, una utilidad legítima de Microsoft, para evitar los controles de seguridad y los sistemas de compromiso.
Esta sofisticada tecnología de ataque permite a los piratas informáticos ocultar actividades maliciosas detrás de los procesos de Windows confiables.
Mavinject.exe es un inyector de virtualización de aplicaciones de Microsoft diseñado para insertar código en procesos externos como parte del entorno APP-V de Microsoft.
Esta utilidad de Microsoft de firma digital, incluida de forma predeterminada en Windows 10 versión 1607 y más tarde, generalmente es blanca por soluciones de seguridad, lo que lo convierte en un vector ideal para los atacantes para evitar mecanismos de detección.
Debido a que Mavinject.exe está firmado digitalmente por Microsoft, crear un proxy para la ejecución de esta manera puede evitar la detección de productos de seguridad porque la ejecución está enmascarada bajo procesos legítimos.
Métodos de explotación técnica
AhnLab informa que los atacantes están abusando de Mavinject.exe de dos maneras principales:
Inyección de DLL /gestión de la ley
La técnica más común implica inyectar DLL maliciosas en el proceso de ejecución utilizando comandos.
Este comando obliga al proceso de destino a cargar y ejecutar código arbitrario. Debajo del capó, Mavinject generalmente usa una API de Windows con software malicioso.
OpenProcess: obtiene el mango en el proceso de destino. VirtualLoCex: asigna la memoria en el proceso de destino. WriteProCessMemory: escribe la ruta DLL para la memoria asignada. CreaterMotethread: Crea un hilo para cargar y ejecutar DLLS. Ejemplo de inyección de DLL creada por un flujo de datos alternativo (ADS)
Operaciones de la tabla de importación a través de /hmodule
Un enfoque más sofisticado implica trabajar con la tabla de direcciones de importación del ejecutable.
Este método especifica una entrada de tabla de importación que consta de la DLL especificada, lo que le permite ingresar el módulo en una dirección base específica, proporcionando un control más preciso sobre el ataque.
Hace solo dos meses, los investigadores de Trend Micro descubrieron una campaña de ataque sofisticada de Earth Preta (también conocida como Mustang Panda), un grupo APT relacionado con chino.
La campaña está dirigida principalmente a las agencias gubernamentales en la región de Asia y el Pacífico, incluidos Taiwán, Vietnam y Malasia.
Earth Preta aprovechó Mavinject.exe para inyectar una carga útil maliciosa en Waitfor.exe mientras ESET Antivirus se ejecutaba en el sistema de la víctima. La tecnología de inyección enmascaró efectivamente las comunicaciones de comando y control bajo un proceso legal.
alivio
Los expertos en seguridad recomiendan varias medidas.
Monitorea la ejecución de la línea de comandos de Mavinject.exe utilizando argumentos como /giro y /hmodule. Expanda las reglas para detectar patrones de llamadas API sospechosos asociados con la inyección de DLL. Si Microsoft App-V no está en uso en su entorno, considere eliminar o deshabilitar Mavinject.exe. Implemente el control de aplicaciones para bloquear Mavinject.exe para ejecutarse si no es necesario.
“La clave para la respuesta de amenaza avanzada es identificar actividades anormales que parecen ser normales”, dijo el investigador.
A medida que los actores de amenaza continúan utilizando la tecnología de la tierra sobreviviente, los defensores deben permanecer atentos al mal uso de los servicios públicos del sistema legal dentro de la cadena de ataque.
.
