msiexec白程序攻击链路

前言：msiexec文件新攻击链路，从APT新海莲花中学习到的方法，这边进行记录

参考文章：https://wander1ng.com/post/msi恶意文件及相关apt组织手法/
参考文章：https://mp.weixin.qq.com/s/qi1krFG75sxQO6DSS3B3eQ
参考文章：https://mgeeky.tech/msi-shenanigans-part-1/
参考文章：https://www.cnblogs.com/zpchcbd/p/11943147.html
参考文章：https://ti.qianxin.com/blog/articles/new -trend-in-msi-file-abuse-new-oceanlotus-group-first-to-use-mst-files-to-deliver-special-trojan-cn/
参考文章：https://mp.weixin.qq.com/s/ALxrEtYH9HUOMfWPH9aZNw
参考文章：https://github.com/mgeeky/msidump
参考文章：https://www.firegiant.com/wixtoolset/

关于msi的介绍

如何打包msi程序

• 通过python msilib库（本质是通过调用com的WindowsInstaller.Installer包装器）
• 通过其他语言（通过 C#、C/C++、Powershell 等）支持调用专用COM WindowsInstaller.Installer对象也同样可以完成该操作
• 通过wix（wix toolset）专门工具集进行msi打包

关于wix toolset

wix工具集介绍

• candle.exe 编译器，在输入时接受.wxs项目XML，生成.wixobj对象文件

• light.exe 链接器，接收输入的.wixobj对象，生成输出.msi

• MakeSfxCA.exe，用于转换输入的.NET CLR线束。NET DLL转换为与运行DLL导出函数的CustomAction兼容的输出本机DLL

• dark.exe，反编译器，可用于从文件柜和嵌入式二进制文件中提取二进制文件

• torch.exe，可用于创建转换.MST文件，这是两个略有不同的输入MSI数据库的差异快照

关于MSIEXEC的运行参数

CustomAction参数