MaxPatrol SIEM

Выявляет инциденты ИБ, ведущие к нарушению киберустойчивости компании

T1218.007: Утилита msiexec

Злоумышленники могут использовать утилиту msiexec.exe для выполнения полезных нагрузок. Msiexec.exe — это утилита командной строки установщика Windows, которая обычно используется для запуска пакетов установки (.msi). Бинарный файл msiexec.exe может быть подписан сертификатом Microsoft.

Злоумышленники могут использовать msiexec.exe для запуска вредоносных файлов MSI — как локальных, так и доступных по сети. Также msiexec.exe может запускать DLL-библиотеки. Поскольку файл msiexec.exe может быть нативным для ОС Windows и иметь подпись, злоумышленники могут воспользоваться им для обхода механизмов контроля приложений, которые не отслеживают его возможное неправомерное использование. Msiexec.exe также может выполняться с привилегиями SYSTEM, если включена политика AlwaysInstallElevated.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_defense_evasion: PT-CR-337: Msiexec_AWL_Bypass: Попытка обойти запрет на запуск приложений с помощью встроенной утилиты Microsoft Windows msiexec.exe (используется для выполнения файлов MSI)

Способы обнаружения

IDDS0011Источник и компонент данныхМодуль: Загрузка модуляОписание

Monitor DLL/PE file events, specifically creation of these binary files as well as the loading of DLLs into processes. Look for DLLs that are not recognized or not normally loaded into a process.

IDDS0029Источник и компонент данныхСетевой трафик: Создание сетевого подключенияОписание

Monitor for newly constructed network connections that are sent or received by untrusted hosts.

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Use process monitoring to monitor the execution and arguments of msiexec.exe. Compare recent invocations of msiexec.exe with prior history of known good arguments and executed MSI files.

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Command arguments used before and after the invocation of msiexec.exe may also be useful in determining the origin and purpose of the MSI files or DLLs being executed.

Меры противодействия

IDM1042НазваниеОтключение или удаление компонента или программыОписание

Consider disabling the AlwaysInstallElevated policy to prevent elevated execution of Windows Installer packages.

IDM1026НазваниеУправление привилегированными учетными записямиОписание

Restrict execution of Msiexec.exe to privileged accounts or groups that need to use it to lessen the opportunities for malicious usage.