Примеры обнаружения с помощью продуктов "Кода Безопасности":
Техники: T1218 , T1218.001 , T1218.002 , T1218.003 , T1218.004 , T1218.005 , T1218.007 , T1218.008 , T1218.009 , T1218.010 , T1218.011 , T1218.012 , T1218.013 , T1218.014 , T1218.015
Злоумышленники могут использовать CMSTP для прокси-исполнения вредоносного кода. Установщик профилей Microsoft Connection Manager (CMSTP.exe) - это программа командной строки, используемая для установки профилей служб Connection Manager. (Цитата: Microsoft Connection Manager Oct 2009) CMSTP.exe принимает в качестве параметра файл информации об установке (INF) и устанавливает профиль службы, используемый для соединений удаленного доступа.
Злоумышленники могут снабдить CMSTP.exe INF-файлами, зараженными вредоносными командами. (Цитата: Twitter CMSTP Usage Jan 2018) Подобно Regsvr32 / "Squiblydoo", CMSTP.exe может быть использован для загрузки и выполнения DLL (Цитата: MSitPros CMSTP Aug 2017) и/или COM-сценариев (SCT) с удаленных серверов. (Цитата: Twitter CMSTP Jan 2018) (Цитата: GitHub Ultimate AppLocker Bypass List) (Цитата: Endurant CMSTP July 2018) Это выполнение может также обойти AppLocker и другие средства защиты от контроля приложений, поскольку CMSTP.exe - это легитимный двоичный файл, который может быть подписан Microsoft.
CMSTP.exe также может быть использован для Обхода контроля учетных записей пользователей и выполнения произвольных команд из вредоносного INF через автоматически поднятый COM-интерфейс.(Цитата: MSitPros CMSTP Aug 2017) (Цитата: GitHub Ultimate AppLocker Bypass List) (Цитата: Endurant CMSTP July 2018)
https://attack.mitre.org/techniques/T1218/003
Визуализация смежных техник для T1218.003
| № | Техника |
|---|
