공격자는 InstallUtil을 사용하여 신뢰할 수있는 Windows 유틸리티를 통해 코드 실행을 프록시 할 수 있습니다. 속성으로 장식 된 클래스를 실행하는 이진 내에서 속성을 사용하여 프로세스 화이트리스트를 우회하는 데 사용될 수도 있습니다.
프로세스 모니터링을 사용하여 조직 내에서 InstallUtil.exe의 실행 및 인수를 모니터링하려면 어떻게해야합니까?
예를 들어 splunk를 사용하거나 Active Directory에서 GPO를 만들 수 있습니까?
참조 : https://docs.microsoft.com/en-us/dotnet/framework/tools/installutil-exe-installer-tool
답변
IIRC, 일반 Windows 이벤트 로그에는 사용 사례에 대한 세부 정보가 충분하지 않습니다. Windows 시스템에서 sysmon을 실행하고 Splunk에 출력을 기록해야합니다. 원하지 않는 실행을 감지하는 데 필요한 정보를 제공해야합니다.