DFMI — Another FAFO project: Weaponizing MSI installers for fileless code execution
Another FAFO project: Weaponizing MSI installers for fileless code execution · Sprache: Python · Topics: cybersecurity, evasion, evasion-techniques, malware, offensive-security, offensive-tradecraft · ⭐ 24 Stars
Der Artikel beschreibt DFMI als Projekt zur „Weaponisierung“ von MSI-Installern für fileless Code Execution. Genannt werden Python sowie Themen wie Cybersecurity, Evasion, Malware, Offensive Security und Offensive Tradecraft. Ein konkreter Angriff gegen eine Organisation wird nicht beschrieben.
Windows-Umgebungen mit MSI-Installer-Ausführung; konkrete betroffene Organisationen sind nicht angegeben.
Missbrauch von Installern und fileless Ausführung kann Erkennung erschweren und legitime Softwaremechanismen tarnen.
Ein Angreifer nutzt einen MSI-Installer als Tarnung für fileless Code Execution in einer Windows-Umgebung.
MSI-Ausführung kontrollieren, Applikationskontrolle einsetzen und EDR-Erkennung für installerbasierte sowie fileless Aktivität validieren.
- ▸Defensiver Check 1: Prüfen, ob MSI-Ausführung auf autorisierte Quellen und signierte Pakete beschränkt ist.
- ▸Defensiver Check 2: EDR-Regeln für verdächtige MSI-Installer-Kindprozesse und speicherbasierte Ausführung testen.
- ▸Defensiver Check 3: Windows-Installer-Logs und Prozessketten auf ungewöhnliche Ausführungsmuster überwachen.
| Taktik | Technik | Konfidenz | Beleg |
|---|---|---|---|
| Defense Evasion | T1218 System Binary Proxy Execution | Low | Der Artikel nennt MSI-Installer und Evasion; konkrete Windows-Binaries oder Ausführungsketten sind nicht angegeben. |
| Execution | T1059 Command and Scripting Interpreter | Low | Fileless Code Execution wird genannt; konkrete Interpreter sind nicht angegeben. |
- Keine konkrete Payload angegeben.
- Keine IOCs angegeben.
- Keine betroffenen Produkte oder Versionen angegeben.