译者: 林妙倩、戴亦仑 原创翻译作品,如果需要转载请取得翻译作者同意。
数据来源:ATT&CK Matrices
原文: https://attack.mitre.org/techniques/T1128
术语表: /attack/glossary
Netsh.exe(也称为 Netshell) 是一个命令行脚本工具,用于与系统的网络配置进行交互。
它可以添加 helper DLL,从而扩展实用程序的功能。
注册 netsh.exehelper DLL 的路径会保存到 Windows 注册表的 HKLM\SOFTWARE\Microsoft\Netsh
中。
当利用另一种持久化技术自动执行 netsh.exe 或者系统上存在其他将执行 netsh.exe 作为其正常的一部分的持久化软件时, 攻击者可以利用带有 helper DLL 的 netsh.exe 持久地代理执行任意代码。
示例包括一些调用 netsh.exe 的 VPN 软件。
存在使用 netsh.exe helper DLL 加载 Cobalt Strike 的 payload 的概念证明代码。
使用能够监视 Windows 实用程序(如 AppLocker)的 DLL 加载的白名单 工具,识别并拦截可能以这种方式存在的潜在恶意软件。
在大多数环境中,net.exe 拥有子进程一般是不正常的。
监视进程执行情况,并调查由 net.exe 生成的每个子进程以确定恶意行为。
监视 HKLM\SOFTWARE\Microsoft\Netsh
的注册表项,以查找与已知系统文件或良性软件无关的任何新条目或可疑条目。