Signed Binary Proxy Execution

Adversaries may bypass process and/or signature-based defenses by proxying execution of malicious content with signed binaries. Binaries signed with trusted digital certificates can execute on Windows systems protected by digital signature validation. Several Microsoft signed binaries that are default on Windows installations can be used to proxy execution of other files.

Angreifer können prozess- und/oder signaturbasierte Verteidigungsmassnahmen umgehen, indem sie die Ausführung bösartiger Inhalte mit signierten Binärdateien vortäuschen. Mit vertrauenswürdigen digitalen Zertifikaten signierte Binärdateien können auf Windows-Systemen ausgeführt werden, die durch eine digitale Signaturprüfung geschützt sind. Mehrere von Microsoft signierte Binärdateien, die standardmässig in Windows-Installationen enthalten sind, können als Proxy für die Ausführung anderer Dateien verwendet werden.

Les adversaires peuvent contourner les défenses basées sur les processus et/ou les signatures en mandatant l'exécution de contenu malveillant avec des binaires signés. Les binaires signés avec des certificats numériques de confiance peuvent s'exécuter sur des systèmes Windows protégés par la validation de signature numérique. Plusieurs fichiers binaires signés par Microsoft et présents par défaut dans les installations Windows peuvent être utilisés pour exécuter d'autres fichiers par procuration.

Gli avversari possono aggirare le difese basate sui processi e/o sulle firme proxyando l'esecuzione di contenuti malevoli con binari firmati. I binari firmati con certificati digitali affidabili possono essere eseguiti su sistemi Windows protetti dalla convalida della firma digitale. Diversi binari firmati Microsoft che sono predefiniti nelle installazioni di Windows possono essere usati per proxy dell'esecuzione di altri file.

Login
ID: T1218
Tactic: Defense Evasion
Platforms: Windows
Permissions Required: Administrator, User
Defense Bypassed: Anti-virus, Application control, Digital Certificate Validation
Contributors: Hans Christoffer Gaardløs; Nishan Maharjan, @loki248; Praetorian
Version: 2.1
Created: 18 April 2018
Last Modified: 16 October 2021
Translations:  DE FR IT EN
Provided by LAYER 8

Mitigations

ID Mitigation Description
M1042 Disable or Remove Feature or Program

Many native binaries may not be necessary within a given environment.

M1038 Execution Prevention

Consider using application control to prevent execution of binaries that are susceptible to abuse and not required for a given system or network.

M1050 Exploit Protection

Microsoft's Enhanced Mitigation Experience Toolkit (EMET) Attack Surface Reduction (ASR) feature can be used to block methods of using using trusted binaries to bypass application control.

M1026 Privileged Account Management

Restrict execution of particularly vulnerable binaries to privileged accounts or groups that need to use it to lessen the opportunities for malicious usage.

Detection

ID Data Source Data Component
DS0017 Command Command Execution
DS0022 File File Creation
DS0011 Module Module Load
DS0029 Network Traffic Network Connection Creation
DS0009 Process OS API Execution
Process Creation
DS0024 Windows Registry Windows Registry Key Modification

Monitor processes and command-line parameters for signed binaries that may be used to proxy execution of malicious files. Compare recent invocations of signed binaries that may be used to proxy execution with prior history of known good arguments and loaded files to determine anomalous and potentially adversarial activity. Legitimate programs used in suspicious ways, like msiexec.exe downloading an MSI file from the Internet, may be indicative of an intrusion. Correlate activity with other suspicious behavior to reduce false positives that may be due to normal benign use by users and administrators.

Monitor for file activity (creations, downloads, modifications, etc.), especially for file types that are not typical within an environment and may be indicative of adversary activity.

Überwachen Sie Prozesse und Befehlszeilenparameter auf signierte Binärdateien, die als Proxy für die Ausführung bösartiger Dateien verwendet werden könnten. Vergleichen Sie die jüngsten Aufrufe von signierten Binärdateien, die möglicherweise als Proxy für die Ausführung verwendet werden, mit früheren Aufrufen bekannter guter Argumente und geladener Dateien, um anomale und potenziell schädliche Aktivitäten festzustellen. Legitime Programme, die auf verdächtige Weise verwendet werden, wie z.B. msiexec.exe, die eine MSI-Datei aus dem Internet herunterlädt, können ein Hinweis auf ein Eindringen sein. Verknüpfen Sie die Aktivitäten mit anderen verdächtigen Verhaltensweisen, um Fehlalarme zu vermeiden, die auf eine normale, harmlose Nutzung durch Benutzer und Administratoren zurückzuführen sind.

Überwachen Sie die Dateiaktivität (Erstellen, Herunterladen, Ändern usw.), insbesondere bei Dateitypen, die in einer Umgebung untypisch sind und auf Aktivitäten von Angreifern hindeuten können.

Surveillez les processus et les paramètres de ligne de commande pour détecter les binaires signés susceptibles d'être utilisés pour l'exécution par procuration de fichiers malveillants. Comparez les invocations récentes de binaires signés susceptibles d'être utilisés pour l'exécution par procuration avec l'historique des arguments et des fichiers chargés connus afin de déterminer les activités anormales et potentiellement malveillantes. Des programmes légitimes utilisés de manière suspecte, comme msiexec.exe téléchargeant un fichier MSI depuis Internet, peuvent être le signe d'une intrusion. Corrélez l'activité avec d'autres comportements suspects pour réduire les faux positifs qui peuvent être dus à une utilisation normale et bénigne par les utilisateurs et les administrateurs.

Surveillez l'activité des fichiers (créations, téléchargements, modifications, etc.), en particulier pour les types de fichiers qui ne sont pas typiques dans un environnement et qui peuvent indiquer une activité adverse.

Monitorare i processi e i parametri della linea di comando per i binari firmati che possono essere usati per l'esecuzione proxy di file malevoli. Confrontare invocazioni recenti di binari firmati che possono essere usati per proxy di esecuzione con la storia precedente di argomenti e file caricati noti e buoni per determinare attività anomale e potenzialmente avversarie. Programmi legittimi usati in modi sospetti, come msiexec.exe che scarica un file MSI da Internet, possono essere indicativi di un'intrusione. Correlare l'attività con altri comportamenti sospetti per ridurre i falsi positivi che possono essere dovuti al normale uso benigno da parte di utenti e amministratori.

Monitorare l'attività dei file (creazioni, download, modifiche, ecc.), specialmente per i tipi di file che non sono tipici di un ambiente e possono essere indicativi di attività avversarie.