在什么条件下，dllhost.exe可以产生子进程？？\ MITRE，ATT&CK T1191

Question

我在寻找Dllhost.exe可以生成子进程的条件/环境。我检查了来自各种Windows系统的大量事件日志，没有遇到任何Dllhost.exe生成子进程的事件。

唯一值得注意的事件(事件of :4688)是dllhost.exe -> cmd.exe，这是模拟的'cmstp旁路‘攻击的结果。

设想情况：

• T1191米特里ATT&CK的威胁搜索。
• 初始IOC是dllhost.exe生成子进程(攻击者有效负载/提升的shell)。

我不打算寻找特定的dllhost.exe->cmd.exe事件，因为它们限制了规则的范围。

我正在寻找的The洞察力是:如果我们为T1191创建一个检测规则，当dllhost.exe生成子进程时触发该规则，那么该规则的成功率将是多少以及会产生多少假阳性。

PS:寻找生成cmstp.exe的事件，检查命令行中的某些执行标志似乎是一种更好的方法，但这不会告诉我们已经启动的最终提升的程序。

Answer 1

PS:寻找生成cmstp.exe的事件，检查命令行中的某些执行标志似乎是一种更好的方法，但这不会告诉我们已经启动的最终提升的程序。

这取决于您拥有的数据/可见性。如果您有可见性来查看进程的父进程的命令行，那么检测该行为的一种方法是对父进程具有与UAC旁路关联的GUID(s)的进程发出警报。

至于dllhost.exe多久产生一次子进程的问题，这是相当常见的。因此--如果您对父命令行没有可见性--也许可以缩小范围，以便从“非标准”路径命令解释器、脚本引擎和可执行文件，所有这些路径的父程序都是dllhost.exe。

Answer 2

您应该使用Sysmon或EDR。仅使用本机Windows安全日志是没有帮助的。检查命令行也将有助于规则创建，并降低误报率，因为这是一种特定的过程/技术。

Sysmon事件也可以用来识别CMSTP.exe的潜在弊端。侦查策略可能取决于特定的对手程序，但潜在的规则包括：

1. 要检测本地/远程有效载荷的加载和执行--事件1(进程创建)，其中ParentImage包含CMSTP.exe和/或事件3(网络连接)，其中图像包含CMSTP.exe和DestinationIP是外部的。
2. 要通过自动提升的COM接口-事件10 (ProcessAccess)检测旁路用户帐户控制，其中CallTrace包含CMLUA.dll和/或事件12或13 (RegistryEvent)，其中TargetObject包含CMMGR32.exe。还监视涉及自动提升的CMSTP COM接口(如CMSTPLUA (3E5FC7F9-9A51-4367-9063-A120244FBEC7)和CMLUAUTIL (3E000D72-A845-4CD9-BD83-80C07C3B881F)等进程的创建(Sysmon Event 1)。