Event Triggered Execution: Netsh Helper DLL

Adversaries may establish persistence by executing malicious content triggered by Netsh Helper DLLs. Netsh.exe (also referred to as Netshell) is a command-line scripting utility used to interact with the network configuration of a system. It contains functionality to add helper DLLs for extending functionality of the utility. [1] The paths to registered netsh.exe helper DLLs are entered into the Windows Registry at HKLM\SOFTWARE\Microsoft\Netsh.

Adversaries can use netsh.exe helper DLLs to trigger execution of arbitrary code in a persistent manner. This execution would take place anytime netsh.exe is executed, which could happen automatically, with another persistence technique, or if other software (ex: VPN) is present on the system that executes netsh.exe as part of its normal functionality. [2][3]

Angreifer können eine Persistenz herstellen, indem sie bösartige Inhalte ausführen, die von Netsh Helper DLLs ausgelöst werden. Netsh.exe (auch als Netshell bezeichnet) ist ein Skriptprogramm für die Befehlszeile, das zur Interaktion mit der Netzwerkkonfiguration eines Systems verwendet wird. Es enthält Funktionen zum Hinzufügen von Hilfs-DLLs zur Erweiterung der Funktionalität des Dienstprogramms. (Zitat: TechNet Netsh) Die Pfade zu den registrierten netsh.exe-Hilfs-DLLs werden in der Windows-Registrierung unter HKLM\SOFTWARE\Microsoft\Netsh eingetragen.

Angreifer können die netsh.exe-Hilfs-DLLs verwenden, um die Ausführung von beliebigem Code in einer dauerhaften Weise auszulösen. Diese Ausführung würde immer dann erfolgen, wenn netsh.exe ausgeführt wird, was automatisch oder mit einer anderen Persistenztechnik geschehen könnte oder wenn andere Software (z.B. VPN) auf dem System vorhanden ist, die netsh.exe als Teil ihrer normalen Funktionalität ausführt. (Zitat: Github Netsh Helper CS Beacon)(Zitat: Demaske Netsh Persistence)

Les adversaires peuvent établir la persistance en exécutant du contenu malveillant déclenché par les DLL de Netsh Helper. Netsh.exe (également appelé Netshell) est un utilitaire de script de ligne de commande utilisé pour interagir avec la configuration réseau d'un système. Il contient une fonctionnalité permettant d'ajouter des DLL d'aide pour étendre les fonctionnalités de l'utilitaire. (Citation : TechNet Netsh) Les chemins d'accès aux DLL d'aide de netsh.exe enregistrées sont saisis dans le registre Windows à l'adresse HKLM\SOFTWARE\Microsoft\Netsh.

Les adversaires peuvent utiliser les DLL d'aide netsh.exe pour déclencher l'exécution de code arbitraire de manière persistante. Cette exécution aurait lieu chaque fois que netsh.exe est exécuté, ce qui pourrait se produire automatiquement, avec une autre technique de persistance, ou si un autre logiciel (ex : VPN) est présent sur le système qui exécute netsh.exe dans le cadre de sa fonctionnalité normale. (Citation : Github Netsh Helper CS Beacon)(Citation : Demaske Netsh Persistence)

Gli avversari possono stabilire la persistenza eseguendo contenuti malevoli innescati da Netsh Helper DLL. Netsh.exe (indicato anche come Netshell) è un'utilità di scripting a riga di comando usata per interagire con la configurazione di rete di un sistema. Contiene funzionalità per aggiungere DLL helper per estendere le funzionalità dell'utility. (Citazione: TechNet Netsh) I percorsi delle DLL di aiuto registrate di netsh.exe sono inseriti nel Registro di Windows a HKLM\SOFTWARE\Microsoft\Netsh.

Gli avversari possono usare le DLL helper di netsh.exe per innescare l'esecuzione di codice arbitrario in modo persistente. Questa esecuzione avverrebbe ogni volta che netsh.exe viene eseguito, il che potrebbe avvenire automaticamente, con un'altra tecnica di persistenza o se sul sistema è presente altro software (es: VPN) che esegue netsh.exe come parte della sua normale funzionalità. (Citazione: Github Netsh Helper CS Beacon)(Citazione: Demaske Netsh Persistence)

Login
ID: T1546.007
Sub-technique of:  T1546
Platforms: Windows
Permissions Required: Administrator, SYSTEM
Contributors: Matthew Demaske, Adaptforward
Version: 1.0
Created: 24 January 2020
Last Modified: 24 March 2020
Translations:  DE FR IT EN
Provided by LAYER 8

Procedure Examples

ID Name Description
S0108 netsh

netsh can be used as a persistence proxy technique to execute a helper DLL when netsh.exe is executed.[3]

Mitigations

This type of attack technique cannot be easily mitigated with preventive controls since it is based on the abuse of system features.

Detection

ID Data Source Data Component
DS0017 Command Command Execution
DS0011 Module Module Load
DS0009 Process Process Creation
DS0024 Windows Registry Windows Registry Key Modification

It is likely unusual for netsh.exe to have any child processes in most environments. Monitor process executions and investigate any child processes spawned by netsh.exe for malicious behavior. Monitor the HKLM\SOFTWARE\Microsoft\Netsh registry key for any new or suspicious entries that do not correlate with known system files or benign software. [3]

Es ist wahrscheinlich ungewöhnlich, dass netsh.exe in den meisten Umgebungen Kindprozesse hat. Überwachen Sie die Prozessausführungen und untersuchen Sie alle von netsh.exe erzeugten Kindprozesse auf bösartiges Verhalten. Überwachen Sie den Registrierungsschlüssel HKLM\SOFTWARE\Microsoft\Netsh auf neue oder verdächtige Einträge, die nicht mit bekannten Systemdateien oder gutartiger Software korrelieren. (Zitat: Demaske Netsh Persistence)

Il est probablement inhabituel que netsh.exe ait des processus enfants dans la plupart des environnements. Surveillez l'exécution des processus et recherchez tout processus enfant engendré par netsh.exe pour détecter tout comportement malveillant. Surveillez la clé de registre HKLM\SOFTWARE\Microsoft\Netsh pour détecter toute entrée nouvelle ou suspecte qui ne correspond pas à des fichiers système connus ou à des logiciels bénins. (Citation : Demaske Netsh Persistance)

È probabilmente insolito che netsh.exe abbia processi figli nella maggior parte degli ambienti. Monitorare le esecuzioni dei processi e indagare su qualsiasi processo figlio generato da netsh.exe per un comportamento malevolo. Monitorare la chiave di registro HKLM\SOFTWARE\Microsoft\Netsh per qualsiasi voce nuova o sospetta che non sia correlata con file di sistema conosciuti o software benigno. (Citazione: Demaske Netsh Persistence)

References