译者: 林妙倩、戴亦仑 原创翻译作品,如果需要转载请取得翻译作者同意。
数据来源:ATT&CK Matrices
原文: https://attack.mitre.org/techniques/T1118
术语表: /attack/glossary
InstallUtil 是一个命令行实用程序,它允许通过执行。net 二进制文件中指定的特定安装程序组件来安装和卸载资源。
InstallUtil 位于 Windows 系统的。NET 目录中:
C:\Windows\Microsoft.NET\Framework\v\InstallUtil.exe
和 C:\Windows\Microsoft.NET\Framework64\v\InstallUtil.exe
.
InstallUtil.exe 具有 Microsoft 的数字签名。
攻击者可以通过受信的 Windows 实用程序使用 InstallUtil 来代理代码的执行。
通过利用执行由 [System.ComponentModel.RunInstaller(true)] 修饰的类的二进制文件中的属性,InstallUtil 还可用于来绕过进程白名单。
在给定的环境中,InstallUtil 可能不是必需的。 如果给定的系统或网络不需要 InstallUtil.exe,配置应用程序白名单来拦截其执行,防止攻击者潜在的滥用。
使用进程监视来监视 InstallUtil.exe 的执行和参数。 将 InstallUtil.exe 最近的调用与之前的已知良好参数调用和已执行的二进制文件进行比较,以确定异常和潜在的攻击活动。 InstallUtil.exe 调用前后使用的命令参数也可能有助于确定执行的二进制文件的来源和目的。