Техника на mitre.org

T1218.007: Утилита msiexec

Злоумышленники могут использовать утилиту msiexec.exe для выполнения полезных нагрузок. Msiexec.exe — это утилита командной строки установщика Windows, которая обычно используется для запуска пакетов установки (.msi). Бинарный файл msiexec.exe может быть подписан сертификатом Microsoft.

Злоумышленники могут использовать msiexec.exe для запуска вредоносных файлов MSI — как локальных, так и доступных по сети. Также msiexec.exe может запускать DLL-библиотеки. Поскольку файл msiexec.exe может быть нативным для ОС Windows и иметь подпись, злоумышленники могут воспользоваться им для обхода механизмов контроля приложений, которые не отслеживают его возможное неправомерное использование. Msiexec.exe также может выполняться с привилегиями SYSTEM, если включена политика AlwaysInstallElevated.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_defense_evasion: PT-CR-337: Msiexec_AWL_Bypass: Попытка обойти запрет на запуск приложений с помощью встроенной утилиты Microsoft Windows msiexec.exe (используется для выполнения файлов MSI)

Способы обнаружения

ID	DS0009	Источник и компонент данных	Процесс: Создание процесса	Описание	Отслеживайте процессы для мониторинга запуска утилиты msiexec.exe и ее аргументов. Сопоставляйте недавние вызовы утилиты msiexec.exe с историей использования известных допустимых аргументов и выполнения допустимых MSI-файлов.

ID	DS0011	Источник и компонент данных	Модуль: Загрузка модуля	Описание	Отслеживайте события, связанные с файлами DLL/PE, особенно события создания этих бинарных файлов, а также загрузки DLL в память процессов. Отслеживайте незнакомые DLL и те, которые обычно не загружаются в память процессов.

ID	DS0029	Источник и компонент данных	Сетевой трафик: Создание сетевого подключения	Описание	Отслеживайте создание сетевых соединений с недоверенными узлами.

ID	DS0017	Источник и компонент данных	Команда: Выполнение команд	Описание	Рекомендуется также отслеживать аргументы, которые использовались до и после вызова msiexec.exe, чтобы определить происхождение и назначение выполняемых MSI-файлов или DLL-библиотек.

ID	Источник и компонент данных	Описание
DS0009	Процесс: Создание процесса	Отслеживайте процессы для мониторинга запуска утилиты msiexec.exe и ее аргументов. Сопоставляйте недавние вызовы утилиты msiexec.exe с историей использования известных допустимых аргументов и выполнения допустимых MSI-файлов.
DS0011	Модуль: Загрузка модуля	Отслеживайте события, связанные с файлами DLL/PE, особенно события создания этих бинарных файлов, а также загрузки DLL в память процессов. Отслеживайте незнакомые DLL и те, которые обычно не загружаются в память процессов.
DS0029	Сетевой трафик: Создание сетевого подключения	Отслеживайте создание сетевых соединений с недоверенными узлами.
DS0017	Команда: Выполнение команд	Рекомендуется также отслеживать аргументы, которые использовались до и после вызова msiexec.exe, чтобы определить происхождение и назначение выполняемых MSI-файлов или DLL-библиотек.

Меры противодействия

ID	M1042	Название	Отключение или удаление компонента или программы	Описание	По возможности отключите политику `AlwaysInstallElevated`, чтобы предотвратить выполнение пакетов установщика Windows с повышенными правами.

ID	M1026	Название	Управление привилегированными учетными записями	Описание	Ограничьте выполнение msiexec.exe только привилегированными учетными записями или группами, которым необходимо его использовать, чтобы уменьшить возможности для вредоносного использования.

ID	Название	Описание
M1042	Отключение или удаление компонента или программы	По возможности отключите политику `AlwaysInstallElevated`, чтобы предотвратить выполнение пакетов установщика Windows с повышенными правами.
M1026	Управление привилегированными учетными записями	Ограничьте выполнение msiexec.exe только привилегированными учетными записями или группами, которым необходимо его использовать, чтобы уменьшить возможности для вредоносного использования.