T1027.010: Обфускация команд
Злоумышленники могут обфусцировать содержимое команды во время ее выполнения, чтобы помешать обнаружению команды. Обфускация командной строки может затруднить сигнатурный анализ строк и шаблонов в командах и сценариях. Этот тип обфускации может использоваться внутри команд, которые выполняются доставленными полезными нагрузками (например, при фишинге и теневой (drive-by) компрометации), или интерактивно через интерпретаторы командной строки и сценариев.
Например, злоумышленники могут манипулировать синтаксисом, в котором используются различные специальные и управляющие символы (такие как пробел, ^
, +
, $
и %
), чтобы затруднить анализ команд, сохранив при этом их функциональность. Многие языки поддерживают встроенную обфускацию в виде кодирования по алгоритму Base64 или кодирования URL-адресов. Злоумышленники также могут реализовать обфускацию команд вручную, используя разделение строк ("Wor"+"d.Application"
), изменение порядка и регистра символов (rev \<\<\<'dwssap/cte/ tac'
), подстановочные символы (mkdir -p '/tmp/:&$NiA'
), а также различные приемы с передачей строк через токены, переменные окружения или потоки ввода.
Злоумышленники также могут использовать такие приемы, как обход каталогов, чтобы обфусцировать путь к бинарному файлу, вызываемому командой (C:\voi\pcw\..\..\Windows\tei\qs\k\..\..\..\system32\erool\..\wbem\wg\je\..\..\wmic.exe shadowcopy delete
).
Для обфускации команд также используются такие инструменты, как Invoke-Obfuscation
и Invoke-DOSfucation
.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
mitre_attck_execution: PT-CR-581: Execute_Encoded_Powershell: Обнаружен запуск процесса PowerShell или команды, закодированной в формате Base64
mitre_attck_execution: PT-CR-1087: Dangerous_Command_Usage: Обнаружена попытка выполнить потенциально опасную команду
mitre_attck_lateral_movement: PT-CR-1372: Remote_SSP_Dump: Использование скрипта из измененного набора инструмента Impacket, позволяющего удаленно сделать дамп памяти процесса lsass
mitre_attck_command_and_control: PT-CR-845: Download_via_Encoded_Powershell: Пользователь скачал полезную нагрузку с помощью закодированной команды PowerShell
mitre_attck_defense_evasion: PT-CR-936: Obfuscated_Powershell: Использование известных методов обфускации в сценариях PowerShell
hacking_tools: PT-CR-2332: Atexec_Activity: Использован инструмент AtExec, предназначенный для запуска команд с помощью запланированных задач Windows
hacking_tools: PT-CR-750: Cobalt_Strike_Powershell_Payload_Delivery: Обнаружено скачивание полезной нагрузки с помощью зашифрованной команды PowerShell
unix_mitre_attck_defense_evasion: PT-CR-1022: Unix_Suspicious_Emodji_Cmdline: Запуск процесса с эмоджи в команде запуска для возможной обфускации кода и создания прямого или обратного подключения (bind или reverse shell)
Способы обнаружения
ID | DS0012 | Источник и компонент данных | Сценарий: Выполнение сценария | Описание | Monitor executed scripts for indicators of obfuscation and potentially suspicious command syntax, such as uninterpreted escape characters (e.g., Also monitor commands within scripts for syntax-specific signs of obfuscation, such as encoded or otherwise unreadable blobs of characters. |
---|
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Monitor executed commands and arguments for indicators of obfuscation and potentially suspicious syntax such as uninterpreted escape characters (e.g., Also monitor command-lines for syntax-specific signs of obfuscation, such as variations of arguments associated with encoding. |
---|
ID | DS0022 | Источник и компонент данных | Файл: Метаданные файла | Описание | Scripts containing obfuscated content may have higher entropy of characters/strings. |
---|
Меры противодействия
ID | M1040 | Название | Предотвращение некорректного поведения | Описание | On Windows 10+, enable Attack Surface Reduction (ASR) rules to block execution of potentially obfuscated scripts. |
---|
ID | M1049 | Название | Антивирус или ПО для защиты от вредоносных программ | Описание | Consider utilizing the Antimalware Scan Interface (AMSI) on Windows 10+ to analyze commands after being processed/interpreted. |
---|