攻击者可能会使用 InstallUtil 通过受信任的 Windows 实用程序代理代码执行。它还可以通过使用二进制文件中的属性来执行用该属性修饰的类,从而绕过进程白名单。
如何使用进程监控来监控我组织内 InstallUtil.exe 的执行和参数?
例如,通过使用 splunk 或在 Active Directory 中创建 GPO?
参考:https://docs.microsoft.com/en-us/dotnet/framework/tools/installutil-exe-installer-tool
答案1
如果我没记错的话,普通的 Windows 事件日志没有足够的细节来满足您的用例。您应该在 Windows 系统上运行 sysmon 并将输出记录到 Splunk 中。这应该会为您提供检测不良执行所需的信息。