CMSTP

Microsoft 连接管理器配置文件安装程序 (CMSTP.exe) 是用于安装连接管理器服务配置文件的命令行程序。 CMSTP.exe 接受安装信息文件 (INF) 作为参数，并安装用于远程访问连接的服务配置文件。 攻击者可以将感染恶意命令的 INF 文件传给 CMSTP.exe。 类似于 Regsvr32 /“Squiblydoo”，攻击者可能滥用 CMSTP.exe 从远程服务器加载和执行 DLL 和/或 COM scriptlet (SCT)。 该执行也可以绕过 AppLocker 和其他白名单防御。因为 CMSTP.exe 是一个合法的、Microsoft 签名应用程序。 CMSTP.exe 还可能被滥用于绕过用户帐户控制，并通过自动提升的 COM 接口执行来自恶意 INF 的任意命令。

缓解

在给定的环境中，CMSTP.exe 可能不是必需的（除非用于 VPN 连接安装）。 如果给定的系统或网络不需要 CMSTP.exe，考虑配置应用程序白名单来阻止 CMSTP.exe 执行，防止潜在的攻击者滥用。

检测

使用进程监视来检测和分析 CMSTP.exe 的执行和参数。 将 CMSTP.exe 最近调用与之前的已知良好参数和被加载的文件进行比较，以确定异常和潜在的攻击活动。 还可以使用 Sysmon 事件识别 CMSTP.exe 的潜在滥用。 检测策略可能取决于特定的攻击者程序，但可能的规则包括：

• 检测本地/远程 payload 的加载和执行——Event 1（进程创建），其中 ParentImage 包含 CMSTP.exe 和/或 Event 3（网络连接），其中 Image 包含 CMSTP.exe,DestinationIP 是外部的。
• 检测通过自动提升 (auto-elevated) 的 COM 接口绕过用户帐户控制-事件 10 (ProcessAccess)，其中 CallTrace 包含 CMLUA.dll 和/或 Event 12 或 13 (RegistryEvent)，其中 TargetObject 包含 CMMGR32.exe。 还可以监视事件，例如涉及自动提升 CMSTP COM 接口，如 CMSTPLUA（3E5FC7F9-9A51-4367-9063-A120244FBEC7）和 CMLUAUTIL（3E000D72-A845-4CD9-BD83- 80C07C3B881F）) 的进程创建 (Sysmon Event 1)