Mavinject

Злоумышленники могут злоупотреблять mavinject.exe для проксирования выполнения вредоносного кода. Mavinject.exe — это инжектор виртуализации приложений Microsoft, утилита Windows, которая может внедрять код во внешние процессы в рамках виртуализации приложений Microsoft (App-V). Злоумышленники могут злоупотреблять mavinject.exe для внедрения вредоносных DLL в запущенные процессы (т.е. Внедрение библиотеки динамической компоновки), что позволяет выполнять произвольный код (например, C:\Windows\system32\mavinject.exe PID /INJECTRUNNING PATH_DLL). Поскольку mavinject.exe может быть подписан цифровой подписью Microsoft, проксирование выполнения с помощью этого метода может избежать обнаружения продуктами безопасности, поскольку выполнение маскируется под легитимный процесс. В дополнение к Внедрению библиотеки динамической компоновки, Mavinject.exe также может использоваться для выполнения внедрения дескриптора импорта с помощью параметра командной строки /HMODULE (например, mavinject.exe PID /HMODULE=BASE_ADDRESS PATH_DLL ORDINAL_NUMBER). Эта команда внедрит запись таблицы импорта, состоящую из указанной DLL, в модуль по заданному базовому адресу.