MaxPatrol SIEM

Выявляет инциденты ИБ, ведущие к нарушению киберустойчивости компании

T1027.010: Обфускация команд

Злоумышленники могут обфусцировать содержимое команды во время ее выполнения, чтобы помешать обнаружению команды. Обфускация командной строки может затруднить сигнатурный анализ строк и шаблонов в командах и сценариях. Этот тип обфускации может использоваться внутри команд, которые выполняются доставленными полезными нагрузками (например, при фишинге и теневой (drive-by) компрометации), или интерактивно через интерпретаторы командной строки и сценариев.

Например, злоумышленники могут манипулировать синтаксисом, в котором используются различные специальные и управляющие символы (такие как пробел, ^, +, $ и %), чтобы затруднить анализ команд, сохранив при этом их функциональность. Многие языки поддерживают встроенную обфускацию в виде кодирования по алгоритму Base64 или кодирования URL-адресов. Злоумышленники также могут реализовать обфускацию команд вручную, используя разделение строк ("Wor"+"d.Application"), изменение порядка и регистра символов (rev \<\<\<'dwssap/cte/ tac'), подстановочные символы (mkdir -p '/tmp/:&$NiA'), а также различные приемы с передачей строк через токены, переменные окружения или потоки ввода.

Злоумышленники также могут использовать такие приемы, как обход каталогов, чтобы обфусцировать путь к бинарному файлу, вызываемому командой (C:\voi\pcw\..\..\Windows\tei\qs\k\..\..\..\system32\erool\..\wbem\wg\je\..\..\wmic.exe shadowcopy delete).

Для обфускации команд также используются такие инструменты, как Invoke-Obfuscation и Invoke-DOSfucation.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_execution: PT-CR-581: Execute_Encoded_Powershell: Обнаружен запуск процесса PowerShell или команды, закодированной в формате Base64
mitre_attck_execution: PT-CR-1087: Dangerous_Command_Usage: Обнаружена попытка выполнить потенциально опасную команду
mitre_attck_lateral_movement: PT-CR-1372: Remote_SSP_Dump: Использование скрипта из измененного набора инструмента Impacket, позволяющего удаленно сделать дамп памяти процесса lsass
mitre_attck_command_and_control: PT-CR-845: Download_via_Encoded_Powershell: Пользователь скачал полезную нагрузку с помощью закодированной команды PowerShell
mitre_attck_defense_evasion: PT-CR-936: Obfuscated_Powershell: Использование известных методов обфускации в сценариях PowerShell
hacking_tools: PT-CR-2332: Atexec_Activity: Использован инструмент AtExec, предназначенный для запуска команд с помощью запланированных задач Windows
hacking_tools: PT-CR-750: Cobalt_Strike_Powershell_Payload_Delivery: Обнаружено скачивание полезной нагрузки с помощью зашифрованной команды PowerShell
unix_mitre_attck_defense_evasion: PT-CR-1022: Unix_Suspicious_Emodji_Cmdline: Запуск процесса с эмоджи в команде запуска для возможной обфускации кода и создания прямого или обратного подключения (bind или reverse shell)

Способы обнаружения

IDDS0012Источник и компонент данныхСценарий: Выполнение сценарияОписание

Monitor executed scripts for indicators of obfuscation and potentially suspicious command syntax, such as uninterpreted escape characters (e.g., ^).

Also monitor commands within scripts for syntax-specific signs of obfuscation, such as encoded or otherwise unreadable blobs of characters.

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Monitor executed commands and arguments for indicators of obfuscation and potentially suspicious syntax such as uninterpreted escape characters (e.g., ^).

Also monitor command-lines for syntax-specific signs of obfuscation, such as variations of arguments associated with encoding.

IDDS0022Источник и компонент данныхФайл: Метаданные файлаОписание

Scripts containing obfuscated content may have higher entropy of characters/strings.

Меры противодействия

IDM1040НазваниеПредотвращение некорректного поведенияОписание

On Windows 10+, enable Attack Surface Reduction (ASR) rules to block execution of potentially obfuscated scripts.

IDM1049НазваниеАнтивирус или ПО для защиты от вредоносных программОписание

Consider utilizing the Antimalware Scan Interface (AMSI) on Windows 10+ to analyze commands after being processed/interpreted.