Техника на mitre.org

T1027.010: Обфускация команд

Злоумышленники могут обфусцировать содержимое команды во время ее выполнения, чтобы помешать обнаружению команды. Обфускация командной строки может затруднить сигнатурный анализ строк и шаблонов в командах и сценариях. Этот тип обфускации может использоваться внутри команд, которые выполняются доставленными полезными нагрузками (например, при фишинге и теневой (drive-by) компрометации), или интерактивно через интерпретаторы командной строки и сценариев.

Например, злоумышленники могут манипулировать синтаксисом, в котором используются различные специальные и управляющие символы (такие как пробел, ^, +, $ и %), чтобы затруднить анализ команд, сохранив при этом их функциональность. Многие языки поддерживают встроенную обфускацию в виде кодирования по алгоритму Base64 или кодирования URL-адресов. Злоумышленники также могут реализовать обфускацию команд вручную, используя разделение строк ("Wor"+"d.Application"), изменение порядка и регистра символов (rev <<<'dwssap/cte/ tac'), подстановочные символы (mkdir -p '/tmp/:&$NiA'), а также различные приемы с передачей строк через токены, переменные окружения или потоки ввода.

Злоумышленники также могут использовать такие приемы, как обход каталогов, чтобы обфусцировать путь к бинарному файлу, вызываемому командой (C:\voi\pcw\..\..\Windows\tei\qs\k\..\..\..\system32\erool\..\wbem\wg\je\..\..\wmic.exe shadowcopy delete).

Для обфускации команд также используются такие инструменты, как Invoke-Obfuscation и Invoke-DOSfucation.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_execution: PT-CR-1087: Dangerous_Command_Usage: Обнаружена попытка выполнить потенциально опасную команду mitre_attck_execution: PT-CR-581: Execute_Encoded_Powershell: Обнаружен запуск процесса PowerShell или команды, закодированной в формате Base64 mitre_attck_defense_evasion: PT-CR-936: Obfuscated_Powershell: Использование известных методов обфускации в сценариях PowerShell unix_mitre_attck_defense_evasion: PT-CR-1022: Unix_Suspicious_Emodji_Cmdline: Запуск процесса с эмоджи в команде запуска для возможной обфускации кода и создания прямого или обратного подключения (bind или reverse shell) mitre_attck_command_and_control: PT-CR-845: Download_Via_Encoded_Powershell: Пользователь скачал полезную нагрузку с помощью закодированной команды PowerShell mitre_attck_lateral_movement: PT-CR-1372: Remote_SSP_Dump: Использование скрипта из измененного набора инструмента Impacket, позволяющего удаленно сделать дамп памяти процесса lsass hacking_tools: PT-CR-2332: Atexec_Activity: Использован инструмент AtExec, предназначенный для запуска команд с помощью запланированных задач Windows hacking_tools: PT-CR-750: Cobalt_Strike_Powershell_Payload_Delivery: Пользователь скачал полезную нагрузку с помощью зашифрованной команды PowerShell

Способы обнаружения

ID	DS0022	Источник и компонент данных	Файл: Метаданные файла	Описание	У сценариев, содержимое которых прошло обфускацию, могут быть повышенные показатели энтропии символов и строк.

ID	DS0012	Источник и компонент данных	Сценарий: Выполнение сценария	Описание	Отслеживайте индикаторы обфускации и подозрительный синтаксис команд в выполняемых сценариях, например необработанные управляющие символы (такие как `^`). Также отслеживайте индикаторы обфускации, специфичные для синтаксиса команд сценариев, например нечитаемые или закодированные последовательности символов.

ID	DS0017	Источник и компонент данных	Команда: Выполнение команд	Описание	Отслеживайте индикаторы обфускации и подозрительный синтаксис в выполняемых командах и их аргументах, например необработанные управляющие символы (такие как `^`). Также отслеживайте индикаторы обфускации, специфичные для синтаксиса командных строк, например аргументы, связанные с кодированием.

ID	Источник и компонент данных	Описание
DS0022	Файл: Метаданные файла	У сценариев, содержимое которых прошло обфускацию, могут быть повышенные показатели энтропии символов и строк.
DS0012	Сценарий: Выполнение сценария	Отслеживайте индикаторы обфускации и подозрительный синтаксис команд в выполняемых сценариях, например необработанные управляющие символы (такие как `^`). Также отслеживайте индикаторы обфускации, специфичные для синтаксиса команд сценариев, например нечитаемые или закодированные последовательности символов.
DS0017	Команда: Выполнение команд	Отслеживайте индикаторы обфускации и подозрительный синтаксис в выполняемых командах и их аргументах, например необработанные управляющие символы (такие как `^`). Также отслеживайте индикаторы обфускации, специфичные для синтаксиса командных строк, например аргументы, связанные с кодированием.

Меры противодействия

ID	M1040	Название	Предотвращение некорректного поведения	Описание	В Windows 10 или более поздних версиях включите правила Attack Surface Reduction (ASR), чтобы блокировать выполнение потенциально обфусцированных сценариев.

ID	M1049	Название	Антивирус или ПО для защиты от вредоносных программ	Описание	По возможности используйте интерфейс сканирования антивирусных программ (AMSI) в Windows 10 или более поздних версиях для анализа команд после их обработки/интерпретации.

ID	Название	Описание
M1040	Предотвращение некорректного поведения	В Windows 10 или более поздних версиях включите правила Attack Surface Reduction (ASR), чтобы блокировать выполнение потенциально обфусцированных сценариев.
M1049	Антивирус или ПО для защиты от вредоносных программ	По возможности используйте интерфейс сканирования антивирусных программ (AMSI) в Windows 10 или более поздних версиях для анализа команд после их обработки/интерпретации.