Descripción de la Tecnica
InstallUtil es una herramienta de línea de comandos en Windows que permite la instalación y desinstalación de componentes mediante binarios .NET. Es un utilitario oficial de Microsoft, ubicado en las carpetas de instalación del sistema operativo. Los atacantes pueden explotar su confianza para ejecutar código malicioso a través de una herramienta reconocida por el usuario final. Esta técnica pertenece al framework MITRE ATT&CK como
T1218.004.
Como Funciona
InstallUtil opera en el entorno .NET, interpretando instrucciones de instalación definidas en archivos binarios. Los atacantes pueden aprovechar esta funcionalidad para inyectar código malicioso en componentes .NET, utilizando la confianza del sistema operativo para evadir controles de seguridad. La ejecución no directa de código malicioso mediante InstallUtil permite a los adversarios evitar detección por parte de herramientas basadas en firma.
Actores que la Utilizan
Esta técnica se documenta en el MITRE ATT&CK como un patrón de ataque (attack-pattern). No se especifican actores particulares, pero su uso está asociado a amenazas cibernéticas avanzadas que buscan aprovechar vulnerabilidades en componentes .NET.
Detección
La detección de InstallUtil malicioso requiere monitorear:
- Uso anómalo de la herramienta en entornos no autorizados.
- Ejecución de archivos .exe en directorios de .NET sin permisos validados.
- Comportamientos inusuales en el contexto de instalación de componentes.
Indicadores de Compromiso (IOCs)
| Tipo |
Valor |
Contexto |
| File Path |
C:\Windows\Microsoft.NET\Framework\v\InstallUtil.exe |
Directorio de instalación del .NET Framework |
Mitigación
- Mantener actualizado el sistema operativo y los componentes .NET.
- Revisar las permissios de acceso a directorios críticos como
C:\Windows\Microsoft.NET\Framework.
- Implementar soluciones de ciberseguridad que monitoren comportamientos anómalos en la ejecución de utilidades .NET.
- Limitar el uso de herramientas de instalación sin autorización administrativa.