AppLocker: de uitsmijter die alleen controleert of je naam op de lijst staat, maar niet of het echt jij bent. Als je zegt dat je “MSBuild” heet, mag je naar binnen.
Bestand
Wat het doet
applocker_mshta
Mshta.exe: een door Microsoft ondertekende binary die VBScript uitvoert. AppLocker vindt het prima. Het is ondertekend. Het is vertrouwd. Het voert je shellcode uit. Geen vragen.
applocker_installutil
InstallUtil.exe: een .NET-installer die code uitvoert in de Install()-methode. Bedoeld voor installatiescripts. Gebruikt voor shells. Het verschil is intentie, en computers begrijpen geen intentie.
applocker_msbuild
MSBuild.exe: de build-tool die inline C#-taken uitvoert. Je bouwt geen software. Je bouwt een shell. MSBuild maakt het verschil niet. MSBuild bouwt gewoon.
Op de hoogte blijven?
Ontvang maandelijks cybersecurity-inzichten in je inbox.