MaxPatrol SIEM

Выявляет инциденты ИБ, ведущие к нарушению киберустойчивости компании

T1218.004: Утилита InstallUtil

Злоумышленники могут использовать InstallUtil для выполнения кода через легитимную утилиту Windows. InstallUtil — это утилита командной строки, которая позволяет устанавливать и удалять ресурсы путем выполнения определенных компонентов установщика, указанных в бинарных файлах .NET . Бинарный файл InstallUtil может быть подписан сертификатом Microsoft и в ОС Windows располагается в каталогах .NET: C:\Windows\Microsoft.NET\Framework\v\InstallUtil.exe и C:\Windows\Microsoft.NET\Framework64\v\InstallUtil.exe.

InstallUtil также может использоваться для обхода механизмов контроля приложений с помощью атрибутов бинарных файлов, которые выполняют класс, декорируемый атрибутом [System.ComponentModel.RunInstaller(true)] .

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_defense_evasion: PT-CR-195: InstallUtil_AWL_Bypass: Попытка обойти запрет на запуск приложений с помощью встроенной утилиты Microsoft Windows installutil.exe (утилита командной строки, которая позволяет устанавливать и удалять ресурсы сервера, запуская компоненты установщика в указанных сборках)

Способы обнаружения

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Отслеживайте процессы для мониторинга запуска утилиты InstallUtil.exe и ее аргументов. Сопоставляйте недавние вызовы утилиты InstallUtil.exe с историей запуска допустимых бинарных файлов и их аргументов, чтобы выявить аномальную и потенциально вредоносную активность.

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Отслеживайте выполнение команд с аргументами, которые использовались до и после вызова InstallUtil.exe, чтобы определить происхождение и назначение выполняемого бинарного файла.

Меры противодействия

IDM1038НазваниеЗащита от выполненияОписание

Используйте контроль приложений, настроенный на блокировку выполнения InstallUtil.exe, если он не требуется для данной системы или сети, чтобы предотвратить потенциальное использование злоумышленниками.

IDM1042НазваниеОтключение или удаление компонента или программыОписание

Утилита InstallUtil может быть не нужна в конкретной среде.