T1218.004 - InstallUtil

Примеры обнаружения с помощью продуктов "Кода Безопасности":
Secret Net Studio

Техники:  T1218 , T1218.001 , T1218.002 , T1218.003 , T1218.004 , T1218.005 , T1218.007 , T1218.008 , T1218.009 , T1218.010 , T1218.011 , T1218.012 , T1218.013 , T1218.014 , T1218.015

Злоумышленники могут использовать InstallUtil для прокси-исполнения кода через доверенную утилиту Windows. InstallUtil - это утилита командной строки, которая позволяет устанавливать и удалять ресурсы путем выполнения определенных компонентов установщика, указанных в двоичных файлах .NET. (Цитата: MSDN InstallUtil) Двоичный файл InstallUtil также может быть подписан цифровой подписью Microsoft и расположен в каталогах .NET в системе Windows: C:\Windows\Microsoft.NET\Framework\v\InstallUtil.exe и C:\Windows\Microsoft.NET\Framework64\v\InstallUtil.exe.

InstallUtil также может быть использован для обхода контроля приложений путем использования атрибутов в бинарном файле, которые выполняют класс, украшенный атрибутом [System.ComponentModel.RunInstaller(true)].(Цитата: LOLBAS Installutil)

https://attack.mitre.org/techniques/T1218/004

← Назад

Визуализация смежных техник для T1218.004