威胁行为者越来越多地利用 mavinject.exe（一款 Microsoft 的合法工具）来绕过安全控制并入侵系统。

这种复杂的攻击技术使黑客能够将恶意活动隐藏在受信任的 Windows 进程背后。

mavinject.exe 是Microsoft应用程序虚拟化注入器，作为Microsoft App – V 环境的一部分，它旨在将代码注入到外部进程中。

自 Windows 10 版本 1607 起，该工具就被默认包含在系统中。由于它是Microsoft进行数字签名的工具，通常会被安全解决方案列入白名单，这使得它成为攻击者绕过检测机制的理想途径。

因为 mavinject.exe 由Microsoft进行了数字签名，通过这种方式代理执行可能会避开安全产品的检测，因为执行过程被伪装在一个合法进程之下。

技术利用方法

AhnLab报告称，攻击者主要通过两种方法滥用 mavinject.exe：

通过 / INJECTRUNNING 进行 DLL 注入

最常见的技术是使用以下命令将恶意 DLL 注入到正在运行的进程中：

这条命令会强制目标进程加载并执行任意代码。实际上，mavinject 利用了通常在恶意软件中会被标记的 Windows 应用程序编程接口（API）：

1.OpenProcess：获取目标进程的句柄。

2.VirtualAllocEx：在目标进程中分配内存。

3.WriteProcessMemory：将 DLL 路径写入已分配的内存。

4.CreateRemoteThread：创建线程来加载并执行 DLL。

通过 / HMODULE 进行导入表操作

一种更为复杂的方法涉及操纵可执行文件的导入地址表：

这种方法会将由指定 DLL 组成的导入表项注入到给定基地址的模块中，从而对攻击实现更精确的控制。

就在两个月前，趋势科技的研究人员揭露了一场由 “Earth Preta”（也被称为 “Mustang Panda”）发起的复杂攻击活动，这是一个高级持续性威胁（APT）组织。

该活动主要针对亚太地区的政府机构，包括越南和马来西亚。

当在受害者系统中检测到 ESET 杀毒软件运行时，“Earth Preta” 利用 mavinject.exe 将恶意有效载荷注入到 waitfor.exe 中。这种注入技术有效地将命令与控制通信隐藏在合法进程之下。

缓解措施

安全专家建议采取以下几种应对措施：

1.监控 mavinject.exe 带 / INJECTRUNNING 和 / HMODULE 等参数的命令行执行情况。

2.部署规则来检测与 DLL 注入相关的可疑 API 调用模式。

3.如果在你的环境中不使用Microsoft App – V，考虑删除或禁用 mavinject.exe。

4.实施应用程序控制，在不需要 mavinject.exe 的地方阻止其执行。

研究人员表示：“应对高级威胁的关键在于识别那些看似正常的异常活动。”

随着威胁行为者继续利用 “利用现有资源” 的技术，防御者必须对攻击链中合法系统工具的滥用保持警惕。