Adversaries may establish persistence and elevate privileges by using an installer to trigger the execution of malicious content. Installer packages are OS specific and contain the resources an operating system needs to install applications on a system. Installer packages can include scripts that run prior to installation as well as after installation is complete. Installer scripts may inherit elevated permissions when executed. Developers often use these scripts to prepare the environment for installation, check requirements, download dependencies, and remove files after installation.^[1]

攻撃者は、インストーラを利用して悪意のあるコンテンツを実行させることで、永続性を確立し、権限を昇格させることがあります。インストーラパッケージは、OS固有のものであり、OSがシステムにアプリケーションをインストールするために必要なリソースを含んでいます。インストーラパッケージには、インストール前に実行されるスクリプトと、インストール完了後に実行されるスクリプトが含まれることがあります。インストーラースクリプトは、実行時に昇格した権限を継承することがあります。開発者は、これらのスクリプトを使用して、インストール環境の準備、要件の確認、依存関係のダウンロード、インストール後のファイルの削除を行うことがよくあります[1]。

Using legitimate applications, adversaries have distributed applications with modified installer scripts to execute malicious content. When a user installs the application, they may be required to grant administrative permissions to allow the installation. At the end of the installation process of the legitimate application, content such as macOS postinstall scripts can be executed with the inherited elevated permissions. Adversaries can use these scripts to execute a malicious executable or install other malicious components (such as a Launch Daemon) with the elevated permissions.^[2][3]

正規のアプリケーションを利用して、攻撃者は、悪意のあるコンテンツを実行するためにインストーラースクリプトを修正したアプリケーションを配布しています。ユーザーがアプリケーションをインストールする際、インストールを許可するために管理者権限を付与するよう求められることがあります。正規のアプリケーションのインストールプロセスの最後に、macOSのポストインストールスクリプトなどのコンテンツが、継承した昇格された権限で実行される可能性があります。攻撃者は、これらのスクリプトを使用して、悪意のある実行ファイルを実行したり、昇格した権限で他の悪意のあるコンポーネント (Launch Daemon など) をインストールしたりすることができます[2][3]。

Depending on the distribution, Linux versions of package installer scripts are sometimes called maintainer scripts or post installation scripts. These scripts can include preinst, postinst, prerm, postrm scripts and run as root when executed.

ディストリビューションによっては、Linux 版のパッケージ・インストーラ・スクリプトは、メンテナ・スクリプトまたはポスト・インストール・スクリプトと呼ばれることがあります。これらのスクリプトには、preinst、postinst、prerm、postrmスクリプトが含まれ、実行時にrootで実行されることがあります。

For Windows, the Microsoft Installer services uses .msi files to manage the installing, updating, and uninstalling of applications. Adversaries have leveraged Prebuild and Postbuild events to run commands before or after a build when installing .msi files.^[4][5]

Windowsでは、Microsoft Installerサービスが.msiファイルを使用して、アプリケーションのインストール、アップデート、アンインストールを管理します。攻撃者は、インストール時に.msiファイルのビルド前またはビルド後にコマンドを実行するために、PrebuildとPostbuildイベントを悪用しています[4][5]。