图片来源： ASEC

AhnLab 安全应急响应中心（ASEC）报告称，威胁行为者滥用了 Microsoft 的一款合法实用程序 mavinject.exe，将恶意动态链接库（DLL）有效载荷注入到合法进程中。这种技术使攻击者能够绕过安全措施并隐藏他们的恶意活动。

mavinject.exe 是 Microsoft 提供的一款合法的命令行实用程序。它旨在将动态链接库（DLL）注入到应用程序虚拟化（App-V）环境中的特定进程中。自 Windows 10 1607 版本以来，该实用程序一直是 Windows 操作系统的默认组件，并且是一个由 Microsoft 签名的受信任可执行文件。因此，许多安全解决方案往往将 mavinject.exe 视为一个安全的应用程序。

ASEC 在其详细分析中指出：“威胁行为者利用这一漏洞，使用 mavinject.exe 将恶意 DLL 有效载荷注入到合法进程中。”

攻击者利用 mavinject.exe 的合法功能，将恶意 DLL 注入到良性进程中。该报告概述了 mavinject.exe 在此过程中使用的以下关键 Windows 应用程序编程接口（API）：

1.OpenProcess（打开进程）：检索目标进程的句柄。

2.VirtualAllocEx（在外部虚拟分配内存）：在目标进程的虚拟内存空间内分配内存。

3.WriteProcessMemory（写入进程内存）：将 DLL 路径写入已分配的内存中。

4.CreateRemoteThread（创建远程线程）：在目标进程中创建一个新线程，并调用 LoadLibraryW 函数来加载并执行恶意 DLL。

通过使用 mavinject.exe，攻击者可以实现外部代码执行并逃避检测。

ASEC 的报告提供了威胁行为者在实际攻击中如何使用 mavinject.exe 的示例：

1.Earth Preta（Mustang Panda）：已观察到这个高级持续性威胁（APT）组织使用 mavinject.exe 将恶意 DLL（如一个后门程序）注入到诸如 waitfor.exe 这样的合法进程中。

2.Lazarus Group：这个威胁组织也使用 mavinject.exe 将恶意 DLL 注入到 explorer.exe 进程中。

在这两种情况下，攻击者都利用了 mavinject.exe 是 Microsoft 合法实用程序这一事实，来绕过安全解决方案并隐藏他们的恶意活动。

ASEC的报告提出了以下检测和响应措施：

检测措施：

1.监控使用特定参数（/INJECTRUNNING、/HMODULE）的 mavinject.exe 命令行执行情况。

2.监控诸如 OpenProcess、VirtualAllocEx、WriteProcessMemory 和 CreateRemoteThread 这样的 API 调用情况。

3.追踪 LoadLibraryW 函数的调用路径，查找异常情况。

响应措施：

1.实施相关策略，在不使用应用程序虚拟化（App-V）功能时阻止 mavinject.exe 的执行。

2.制定规则以检测进程间的 DLL 注入行为。

3.定期检查正常进程中是否存在异常的 DLL 加载历史记录。