det0328-detection-of-malicious-profile-installation-via-cmstpexe

# DET0328 — Detection of Malicious Profile Installation via CMSTP.exe ## Descrição Esta estratégia detecta o abuso de `cmstp.exe` — Microsoft Connection Manager Profile Installer — para instalar perfis de conexão maliciosos e executar código arbitrário, contornando controles de AppLocker e User Account Control (UAC). A técnica [[T1218.003-cmstp]] é uma técnica de Living-off-the-Land (LotL) que explora um binário legítimo assinado pela Microsoft. A detecção foca em execuções de `cmstp.exe` com argumentos incomuns ou a partir de contextos suspeitos — especialmente invocações com `/s` ou `/au` que suprimem interface de usuário, combinadas com arquivos INF localizados em diretórios temporários. A geração de processos filhos por `cmstp.exe` é anômala e deve sempre disparar alertas. O abuso de CMSTP foi documentado em campanhas de grupos como APT29 e FIN7, e é relevante para detecção em ambientes corporativos Windows onde usuários não deveriam precisar instalar perfis de conexão manualmente. ## Indicadores de Detecção - `cmstp.exe` executado com flags `/s`, `/au`, ou `/ni` (modos silenciosos/sem UI) - `cmstp.exe` gerando processos filhos (cmd.exe, powershell.exe, mshta.exe) - Arquivo INF referênciado por `cmstp.exe` localizado em `%TEMP%`, `%APPDATA%` ou downloads - `cmstp.exe` invocado por processos não-administrativos ou de forma não-interativa - Presença de arquivo `.inf` com seção `[DefaultInstall]` contendo `RegisterOCXs` ou `RunPreSetupCommands` - `cmstp.exe` executado logo após download de arquivo via browser ou email ## Técnicas Relacionadas - [[T1218.003-cmstp]] — técnica primária - [[t1218-system-binary-proxy-execution|T1218-system-binary-proxy-execution]] — categoria pai de proxy via binários do sistema - [[T1548.002-bypass-user-account-control]] — bypass de UAC frequentemente combinado - [[t1059-command-and-scripting-interpreter|T1059-command-and-scripting-interpreter]] — execução de scripts via CMSTP - [[t1574-hijack-execution-flow|T1574-hijack-execution-flow]] — sequestro de fluxo de execução relacionado ## Analytics Relacionadas - [[an0932-analytic-0932|AN0932 — Analytic 0932]] --- *Fonte: [MITRE ATT&CK — DET0328](https://attack.mitre.org/detectionstrategies/DET0328)*