译者: 林妙倩、戴亦仑 原创翻译作品,如果需要转载请取得翻译作者同意。
数据来源:ATT&CK Matrices
原文: https://attack.mitre.org/techniques/T1191
术语表: /attack/glossary
Microsoft 连接管理器配置文件安装程序 (CMSTP.exe) 是用于安装连接管理器服务配置文件的命令行程序。 CMSTP.exe 接受安装信息文件 (INF) 作为参数,并安装用于远程访问连接的服务配置文件。 攻击者可以将感染恶意命令的 INF 文件传给 CMSTP.exe。 类似于 Regsvr32 /“Squiblydoo”,攻击者可能滥用 CMSTP.exe 从远程服务器加载和执行 DLL 和/或 COM scriptlet (SCT)。 该执行也可以绕过 AppLocker 和其他白名单防御。因为 CMSTP.exe 是一个合法的、Microsoft 签名应用程序。 CMSTP.exe 还可能被滥用于绕过用户帐户控制,并通过自动提升的 COM 接口执行来自恶意 INF 的任意命令。
在给定的环境中,CMSTP.exe 可能不是必需的(除非用于 VPN 连接安装)。 如果给定的系统或网络不需要 CMSTP.exe,考虑配置应用程序白名单来阻止 CMSTP.exe 执行,防止潜在的攻击者滥用。
使用进程监视来检测和分析 CMSTP.exe 的执行和参数。 将 CMSTP.exe 最近调用与之前的已知良好参数和被加载的文件进行比较,以确定异常和潜在的攻击活动。 还可以使用 Sysmon 事件识别 CMSTP.exe 的潜在滥用。 检测策略可能取决于特定的攻击者程序,但可能的规则包括: