T1218.003

CMSTP

توضیحات

مهاجمان از Microsoft Connection Manager Profile Installer (CMSTP.exe) برای اجرای DLL‌های مخرب یا دور زدن UAC استفاده می‌کنند. CMSTP یک باینری امضاشده ویندوز است که می‌تواند برای اجرای payload‌های مخرب استفاده شود.

روش‌های شناسایی

نظارت بر اجرای CMSTP.exe با آرگومان‌های غیرعادی. شناسایی فایل‌های INF مشکوک. بررسی فرآیندهای ایجاد شده توسط CMSTP. تحلیل رفتار CMSTP.

روش‌های مقابله

محدود کردن اجرای CMSTP. پیاده‌سازی Application Whitelisting. نظارت بر CMSTP. استفاده از Attack Surface Reduction Rules. استفاده از EDR.

تکنیک اصلی

T1218System Binary Proxy Execution

اجرای proxy با باینری سیستمی

مهاجمان از باینری‌های امضاشده و مورد اعتماد سیستم برای اجرای payload‌های مخرب استفاده می‌کنند. این تکنیک که به عنوان Living off the Land نیز شناخته می‌شود، از ابزارهایی مانند rundll32، regsvr32، mshta، certutil و سایر ابزارهای سیستمی برای دور زدن Application Whitelisting استفاده می‌کند.

سایر زیرتکنیک‌ها (3)

T1218.005 · Mshta T1218.010 · Regsvr32 T1218.011 · Rundll32