Злоумышленники могут использовать InstallUtil для прокси выполнения кода через доверенную утилиту Windows. Его также можно использовать для обхода белых списков процессов посредством использования атрибутов в двоичном файле, которые исполняют класс, украшенный атрибутом.

Как я могу использовать мониторинг процессов для мониторинга выполнения и аргументов InstallUtil.exe в моей организации?

Например, используя splunk или создавая объект групповой политики в Active Directory?

Ссылка: https://docs.microsoft.com/en-us/dotnet/framework/tools/installutil-exe-installer-tool

1 ответ1

0

IIRC, в обычных журналах событий Windows недостаточно подробностей для вашего варианта использования. Вы должны запустить sysmon в своих системах Windows и записать вывод в Splunk. Это должно дать вам информацию, необходимую для обнаружения нежелательных казней.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .