det0138-detection-of-malicious-code-execution-via-installutilexe

# DET0138 — Detection of Malicious Code Execution via InstallUtil.exe ## Descrição Esta estratégia detecta o abuso do `InstallUtil.exe`, utilitário legítimo do .NET Framework, para executar código malicioso contornando controles de AppLocker e políticas de execução de aplicações (T1218.004). O mecanismo explora o suporte nativo a callbacks de instalação/desinstalação (`[RunInstaller(true)]`) em assemblies .NET, executando código arbitrário hospedado em DLL ou EXE malicioso sob o contexto do processo assinado pela Microsoft. A técnica é popular por ser um LOLBAS (Living off the Land Binary) — o binário é assinado pela Microsoft, está presente em todos os sistemas Windows e frequentemente está whitelisted em políticas de segurança. Adversários utilizam `InstallUtil.exe /logfile= /logtoconsole=false /u malicious.dll` para invocar código sem gerar processo filho suspeito diretamente. A telemetria inclui Sysmon Event ID 1 para linhas de comando de `InstallUtil.exe` com parâmetros incomuns (especialmente `/u` apontando para arquivo em caminhos de usuário), Event ID 3 para conexões de rede por `InstallUtil.exe` (anômalo — instaladores não fazem conexões), e monitoramento de carregamento de assembly .NET via ETW. Qualquer atividade de rede originada de `InstallUtil.exe` é altamente suspeita. ## Indicadores de Detecção - `InstallUtil.exe` executado com arquivo fora de diretórios de aplicação legítima - `InstallUtil.exe` gerando conexão de rede (qualquer destino) — extremamente anômalo - Parâmetro `/u` (uninstall) com caminho para arquivo em `%TEMP%`, `%APPDATA%` ou `%USERPROFILE%` - `InstallUtil.exe` como processo filho de `cmd.exe`, `PowerShell`, `wscript.exe` ou processo Office - Assembly .NET sem assinatura digital carregado via `InstallUtil.exe` ## Técnicas Relacionadas - [[t1218-system-binary-proxy-execution|T1218 — System Binary Proxy Execution]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] - [[t1036-masquerading|T1036 — Masquerading]] ## Analytics Relacionadas - [[an0388-analytic-0388|AN0388 — Analytic 0388]] --- *Fonte: [MITRE ATT&CK — DET0138](https://attack.mitre.org/detectionstrategies/DET0138)*