最新消息:

Mavinject | Dll Injected

原创翻译 demon 1242浏览 0评论

DLL注入是什么?

DLL注入是将 DLL 注入进程的内存空间,然后将其作为其一部分执行的过程。这样做意味着DLL代码具有对进程内存的所有访问权限,无论出于何种原因都可以对其进行操作,但更重要的是它还获得了进程的所有权限。例如,您希望与外界沟通,但您没有通过防火墙的权限。随着注入DLL,你可以注入并执行你的代码到其中的进程权限(如Internet Explorer)。

 

如果你对如何编写一个基本的DLL注入器感兴趣,请了解下图结构。

 

用户模式Rootkit

用户模式rootkit是提供与内核模式rootkit类似功能的rootkit(尽管在技术上不是这样),例如屏蔽和禁止访问文件,但在用户级别操作。我们把这个级别称为ring 3,而内核模式rootkit是ring 0。这是一个视觉辅助图。

我们可以看到,绿色是用户模式,中间的红色是内核模式。尽管环1和环2确实存在,但实际上并不使用,所以我们只指0或3。

从环3调用WinAPI函数调用,因为环3不能直接与CPU通信,所以必须通过一系列特权检查向内环0进行ring。一旦进入ring 0,操作系统执行指令来执行函数调用所需的操作。通过这样做的目的是为了保证API从环3传递到0并返回的参数保持其完整性而不被修改。

mavinject

Mavinject是一个合法的Windows组件,可以在任何正在运行的进程中使用,并执行任意代码注入。由于这是Windows上的一个常见组件,因此可以利用它来执行无人区域的攻击。

经过进一步的分析,我们认为这是误报。但我们仍然对触发的原因,以及为什么合法组件会对excel.exe执行这样的操作感到疑惑。

就时间轴而言mavinject32.exe在excel.exe中执行代码注入后立即终止。这引起了我对引擎的一些关注,flag意味着操作可能是恶意的。以下是offending进程的细节:

1. 很明显mavinject32.exe是一个合法的Microsoft组件,命令行也很有趣。从初步分析来看论据如下:

mavinject32.exe <PID> <PATH DLL>

PID为在端点上运行的excel.exe实例的PID,DLL路径与“EVENTS”期间注入的DLL路径相对应。从以上我们得知这和名为“mav-inject”的组件相关,我们怀疑它可能被用来在其他进程中注入任意的恶意DLL。

第一步,我们尝试了解Mavinject是否为共同的组件。我们在以下位置找到它:

“C:\Program Files\Common Files\microsoft shared\ClickToRun\MavInject32.exe”

2. 此外,可执行文件可以在其他两个目录中找到:System32和SysWOW64

FileDescription(文件描述): Microsoft Application Virtualization Injecto

3. 该应用程序是Microsoft Application Virtualization(App-V)的一部分,对可执行文件的分析后我们得到以下有趣参数:

/INJECTRUNNING

1. 使用Mavinject …

以下是我们从收集的客户信息中确定的一个常见的用例:

mavinject <PID> /INJECTRUNNING

2. 使用此命令行运行的可执行文件查找以下注册表项:

Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AppV\Subsystem

3.?其相应的值是:

ValueName: Modules – ValueData: C:\Windows\System32\AppVEntSubsystems32.dll
ValueName: Modules64 – ValueData: C:\Windows\System32\AppVEntSubsystems64.dll

4.根据目标进程结构(32位或64位),它会注入其中一个DLL。

Mavinject …

经过进一步分析,我们还可以用以下方式在任意运行的进程中注入一个DLL:

MavInject.exe <PID> /INJECTRUNNING <PATH DLL>

 

视频演示:

参考资料 :

https://gist.github.com/anonymous/b25cb82c4b3d40648f0b589fa242577f

https://reaqta.com/2017/12/mavinject-microsoft-injector/

转载请注明:即刻安全 » Mavinject | Dll Injected

您必须 登录 才能发表评论!



合作伙伴