T1218.007: Утилита msiexec
Злоумышленники могут использовать утилиту msiexec.exe для выполнения полезных нагрузок. Msiexec.exe — это утилита командной строки установщика Windows, которая обычно используется для запуска пакетов установки (.msi). Бинарный файл msiexec.exe может быть подписан сертификатом Microsoft.
Злоумышленники могут использовать msiexec.exe для запуска вредоносных файлов MSI — как локальных, так и доступных по сети. Также msiexec.exe может запускать DLL-библиотеки. Поскольку файл msiexec.exe может быть нативным для ОС Windows и иметь подпись, злоумышленники могут воспользоваться им для обхода механизмов контроля приложений, которые не отслеживают его возможное неправомерное использование. Msiexec.exe также может выполняться с привилегиями SYSTEM, если включена политика AlwaysInstallElevated
.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
mitre_attck_defense_evasion: PT-CR-337: Msiexec_AWL_Bypass: Попытка обойти запрет на запуск приложений с помощью встроенной утилиты Microsoft Windows msiexec.exe (используется для выполнения файлов MSI)
Способы обнаружения
ID | DS0011 | Источник и компонент данных | Модуль: Загрузка модуля | Описание | Monitor DLL/PE file events, specifically creation of these binary files as well as the loading of DLLs into processes. Look for DLLs that are not recognized or not normally loaded into a process. |
---|
ID | DS0029 | Источник и компонент данных | Сетевой трафик: Создание сетевого подключения | Описание | Monitor for newly constructed network connections that are sent or received by untrusted hosts. |
---|
ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Use process monitoring to monitor the execution and arguments of msiexec.exe. Compare recent invocations of msiexec.exe with prior history of known good arguments and executed MSI files. |
---|
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Command arguments used before and after the invocation of msiexec.exe may also be useful in determining the origin and purpose of the MSI files or DLLs being executed. |
---|
Меры противодействия
ID | M1042 | Название | Отключение или удаление компонента или программы | Описание | Consider disabling the |
---|
ID | M1026 | Название | Управление привилегированными учетными записями | Описание | Restrict execution of Msiexec.exe to privileged accounts or groups that need to use it to lessen the opportunities for malicious usage. |
---|