CMSTP

对手可能会滥用CMSTP来代理执行恶意代码。Microsoft连接管理器配置文件安装程序（CMSTP.exe）是一个命令行程序，用于安装连接管理器服务配置文件。(引用: Microsoft Connection Manager Oct 2009) CMSTP.exe接受安装信息文件（INF）作为参数，并安装用于远程访问连接的服务配置文件。 对手可能会向CMSTP.exe提供感染了恶意命令的INF文件。(引用: Twitter CMSTP Usage Jan 2018) 类似于Regsvr32 / “Squiblydoo”，CMSTP.exe可能被滥用来加载和执行DLL(引用: MSitPros CMSTP Aug 2017) 和/或来自远程服务器的COM脚本文件（SCT）。(引用: Twitter CMSTP Jan 2018) (引用: GitHub Ultimate AppLocker Bypass List) (引用: Endurant CMSTP July 2018) 由于CMSTP.exe是一个合法的二进制文件，可能由Microsoft签名，因此这种执行也可能绕过AppLocker和其他应用程序控制防御。 CMSTP.exe还可以被滥用来绕过用户帐户控制并通过自动提升的COM接口从恶意INF执行任意命令。(引用: MSitPros CMSTP Aug 2017) (引用: GitHub Ultimate AppLocker Bypass List) (引用: Endurant CMSTP July 2018)