T1218.004: Утилита InstallUtil
Злоумышленники могут использовать InstallUtil для выполнения кода через легитимную утилиту Windows. InstallUtil — это утилита командной строки, которая позволяет устанавливать и удалять ресурсы путем выполнения определенных компонентов установщика, указанных в бинарных файлах .NET . Бинарный файл InstallUtil может быть подписан сертификатом Microsoft и в ОС Windows располагается в каталогах .NET: C:\Windows\Microsoft.NET\Framework\v\InstallUtil.exe
и C:\Windows\Microsoft.NET\Framework64\v\InstallUtil.exe
.
InstallUtil также может использоваться для обхода механизмов контроля приложений с помощью атрибутов бинарных файлов, которые выполняют класс, декорируемый атрибутом [System.ComponentModel.RunInstaller(true)]
.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
mitre_attck_defense_evasion: PT-CR-195: InstallUtil_AWL_Bypass: Попытка обойти запрет на запуск приложений с помощью встроенной утилиты Microsoft Windows installutil.exe (утилита командной строки, которая позволяет устанавливать и удалять ресурсы сервера, запуская компоненты установщика в указанных сборках)
Способы обнаружения
ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Отслеживайте процессы для мониторинга запуска утилиты InstallUtil.exe и ее аргументов. Сопоставляйте недавние вызовы утилиты InstallUtil.exe с историей запуска допустимых бинарных файлов и их аргументов, чтобы выявить аномальную и потенциально вредоносную активность. |
---|
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Отслеживайте выполнение команд с аргументами, которые использовались до и после вызова InstallUtil.exe, чтобы определить происхождение и назначение выполняемого бинарного файла. |
---|
Меры противодействия
ID | M1038 | Название | Защита от выполнения | Описание | Используйте контроль приложений, настроенный на блокировку выполнения InstallUtil.exe, если он не требуется для данной системы или сети, чтобы предотвратить потенциальное использование злоумышленниками. |
---|
ID | M1042 | Название | Отключение или удаление компонента или программы | Описание | Утилита InstallUtil может быть не нужна в конкретной среде. |
---|