det0433-detecting-code-injection-via-mavinjectexe-app-v-injector

# DET0433 — Detecting Code Injection via mavinject.exe (App-V Injector) ## Descrição `mavinject.exe` é um binário legítimo da Microsoft incluído com o Microsoft Application Virtualization (App-V) que tem a funcionalidade de injetar DLLs em processos em execução. Por ser um binário assinado pela Microsoft e presente em instalações padrão do Windows, é classificado como um "living-off-the-land binary" (LOLBin) — adversários o utilizam para injetar código malicioso em processos legítimos sem precisar de ferramentas de injeção personalizadas que seriam detectadas por antivírus. A sintaxe de uso malicioso é direta: `mavinject.exe [PID] /INJECTRUNNING [caminho da DLL]` — onde [PID] é o ID de qualquer processo em execução e a DLL pode ser um payload de [[s0154-cobalt-strike]], [[meterpreter]] ou qualquer shellcode empacotado em DLL. Como o código é executado no contexto do processo legítimo, técnicas de detecção baseadas em reputação de processo são contornadas. A detecção é relativamente direta pela raridade de uso legítimo de `mavinject.exe` em ambientes corporativos: a maioria das organizações não utiliza App-V ativamente. Qualquer execução de `mavinject.exe` deve ser investigada, especialmente quando com argumentos `/INJECTRUNNING` ou quando o processo alvo é de alta visibilidade (browsers, processos de segurança, processos de sistema). ## Indicadores de Detecção - Execução de `mavinject.exe` com argumento `/INJECTRUNNING` em qualquer contexto - `mavinject.exe` invocado por processos de linha de comando (cmd, powershell, wscript) ou scripts - Processo legítimo (ex.: `notepad.exe`, `explorer.exe`) carregando DLL de caminho temporário após execução de `mavinject.exe` - `mavinject.exe` presente em hosts que não possuem App-V instalado (LOLBin planted) - Criação de DLL em `%TEMP%` seguida imediatamente de execução de `mavinject.exe` no mesmo sistema ## Técnicas Relacionadas - [[t1055-process-injection|T1055 — Process Injection]] - [[t1218-system-binary-proxy-execution|T1218 — System Binary Proxy Execution]] - [[t1036-masquerading|T1036 — Masquerading]] - [[t1574-hijack-execution-flow|T1574 — Hijack Execution Flow]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] ## Analytics Relacionadas - [[an1207-analytic-1207|AN1207 — Analytic 1207]] --- *Fonte: [MITRE ATT&CK — DET0433](https://attack.mitre.org/detectionstrategies/DET0433)*