T1059.003: Командная оболочка Windows

Злоумышленники могут использовать для выполнения вредоносного кода командную оболочку Windows. Командная оболочка Windows (cmd) — основной интерфейс командной строки в системах на базе Windows. Командная строка Windows может использоваться для управления почти всеми аспектами системы; для выполнения команд определенных групп требуются соответствующие уровни разрешений. Командная строка может быть вызвана удаленно с использованием служб удаленного доступа, таких как SSH.

Пакетные файлы (например, файлы .bat или .cmd) также предоставляют оболочке последовательность команд для выполнения, которая может содержать такие типичные для сценариев конструкции, как условные переходы и циклы. Пакетные файлы обычно используются для выполнения объемных или повторяющихся задач или в случаях, когда необходимо запустить одну и ту же последовательность команд на нескольких системах.

Злоумышленники могут использовать cmd для выполнения различных команд и запуска полезных нагрузок. Обычное использование командной оболочки включает обращение к cmd для выполнения одиночной команды или использование cmd в интерактивном режиме с передачей входных и выходных данных через канал связи с командным сервером.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

pt_application_firewall: PT-CR-1915: PTAF_Hacktool_Detected: Приложение PT AF обнаружило признаки использования вредоносной утилиты pt_application_firewall: PT-CR-1906: PTAF_Command_Injection_Detected: Приложение PT AF обнаружило внедрение команд ОС mssql_database: PT-CR-423: MSSQL_System_Command_Usage: Попытка выполнить системную команду с помощью хранимой процедуры it_bastion: PT-CR-2171: SKDPUNT_Suspicious_Command: Пользователь выполнил потенциально опасную команду it_bastion: PT-CR-2184: SKDPUNT_Blacklisted_Command: Выполнена команда из черного списка it_bastion: PT-CR-2177: SKDPUNT_Potentially_Dangerous_Command: Использованы потенциально опасные команды microsoft_mecm: PT-CR-1860: MECM_SharpSCCM: Использование утилиты SharpSCCM, предназначенной для поиска конфиденциальной информации о клиентах MECM mitre_attck_impact: PT-CR-501: Stop_Important_Service: Попытка остановить важную службу mitre_attck_impact: PT-CR-497: Shadow_Copies_Deletion_With_Builtin_Tools: Обнаружение попыток удалить теневые копии данных, необходимых для восстановления Windows mysql_database: PT-CR-617: MySQL_Code_Execution: Запуск процесса от имени учетной записи базы данных может свидетельствовать о попытке злоумышленника, получившего возможность выполнять запросы к базе данных, повысить привилегии mitre_attck_execution: PT-CR-2459: Dump_Bitlocker_Keys_From_Host: Использование утилиты manage-bde или командлета Get-BitLockerVolume для получения информации о томах, зашифрованных с помощью BitLocker, а также ключей восстановления. Злоумышленник может использовать полученную информацию для расшифровки защищенных данных mitre_attck_execution: PT-CR-954: Tttracer_LOLBin: Обход средств защиты с помощью tttracer.exe mitre_attck_execution: PT-CR-209: Execute_Suspicious_Command_Via_Cmd: Запуск процесса "Сmd" с потенциально опасными аргументами mitre_attck_execution: PT-CR-1756: PowerShdll_Usage: Запуск утилиты PowerShdll mitre_attck_execution: PT-CR-207: Suspicious_Wmic_Command: Обнаружена попытка использовать утилиту "wmic", чтобы совершить подозрительные действия mitre_attck_execution: PT-CR-223: Code_Execution_Via_JDK_Tools: Обнаружена попытка выполнить код с помощью инструментов Java mitre_attck_execution: PT-CR-1089: DotNetToJScript_Usage: Обнаружено возможное использование утилиты DotNetToJscript mitre_attck_execution: PT-CR-340: Execute_Malicious_Command: Обнаружена попытка выполнить потенциально опасную команду mitre_attck_execution: PT-CR-339: Script_Files_Execution: Пользователь попытался запустить скрипт mitre_attck_execution: PT-CR-316: LOLBin_Copying: Обнаружена попытка скопировать системное приложение mitre_attck_execution: PT-CR-645: Recon_Via_Webserver_Process: Пользователь запустил процесс от родительского процесса mitre_attck_execution: PT-CR-1962: Remote_Registry_Enable: Возможный запуск службы "Удаленный реестр", позволяющей удаленно изменить значения ключей реестра Windows, что может быть использовано для перемещения внутри периметра mitre_attck_execution: PT-CR-342: Schtasks_Commandline: Управление запланированной задачей через командную строку или PowerShell mitre_attck_execution: PT-CR-602: Finger_AWL_Bypass: Попытка обойти запрет на запуск приложений с помощью встроенной утилиты Microsoft Windows finger.exe (отображает информацию о пользователях на удаленном компьютере, на котором запущена служба Finger) mitre_attck_execution: PT-CR-2300: Windows_Path_Traversal: Попытка атаки "Обход каталога" (Path Traversal). Злоумышленники используют эту атаку в командной строке Windows для получения несанкционированного доступа к файлам в системе mitre_attck_defense_evasion: PT-CR-1861: Firewall_Modify: Попытка изменить конфигурацию брандмауэра Windows mitre_attck_defense_evasion: PT-CR-603: IEExec_AWL_Bypass: Попытка обойти запрет на запуск приложений с помощью встроенной утилиты Microsoft Windows ieexec.exe (недокументированное приложение Microsoft .NET Framework, которое можно использовать для запуска других управляемых приложений, запускаемых с помощью URL-адреса) mitre_attck_defense_evasion: PT-CR-1088: Devinit_AWL_Bypass: Попытка обойти запрет на запуск приложений с помощью утилиты Microsoft Visual Studio devinit.exe (входит в состав SDK для Visual Studio) mitre_attck_defense_evasion: PT-CR-203: BitsJob_Download_And_Run: Обнаружена попытка загрузить или запустить приложение при помощи средства командной строки Microsoft Windows "bitsadmin" mitre_attck_defense_evasion: PT-CR-201: Cmstp_AWL_Bypass: Попытка обойти контроль учетных записей (UAC) или запрет на запуск приложения с помощью встроенной утилиты Microsoft Windows cmstp.exe (устанавливает или удаляет профиль службы диспетчера подключений) mitre_attck_defense_evasion: PT-CR-454: Dnscmd_AWL_Bypass: Попытка обойти запрет на запуск приложений с помощью встроенной утилиты Microsoft Windows dnscmd.exe (интерфейс командной строки для управления DNS-серверами) mitre_attck_defense_evasion: PT-CR-204: MSHTA_AWL_Bypass: Попытка обойти запрет на запуск приложений с помощью встроенной утилиты Microsoft Windows mshta.exe (используется для выполнения HTML-приложений (.hta)) mitre_attck_defense_evasion: PT-CR-946: Suspicious_Execution_Via_Regsvr32: Попытка обойти запрет на запуск приложений с помощью встроенной утилиты Microsoft Windows regsvr32.exe (используется для регистрации DLL) mitre_attck_defense_evasion: PT-CR-1776: Browser_LOLBin: Запуск процесса с помощью доверенного ПО mitre_attck_defense_evasion: PT-CR-938: PowerShell_CLM_Bypass: Попытка обхода языкового режима PowerShell ConstrainedLanguage mitre_attck_defense_evasion: PT-CR-208: XSL_Script_WMIC_Execution: Обнаружена попытка запустить сценарии XSL с помощью утилиты "wmic" mitre_attck_defense_evasion: PT-CR-196: MSBuild_AWL_Bypass: Попытка обойти запрет на запуск приложений c помощью утилиты .NET Framework msbuild.exe (используется для компиляции и выполнения кода) mitre_attck_defense_evasion: PT-CR-456: Odbcconf_AWL_Bypass: Попытка обойти запрет на запуск приложений с помощью встроенной утилиты Microsoft Windows odbcconf.exe (используется для управления соединениями ODBC) mitre_attck_defense_evasion: PT-CR-199: Rundll32_AWL_Bypass: Попытка обойти запрет на запуск приложений с помощью встроенной утилиты Microsoft Windows rundll32.exe (используется для выполнения файлов DLL) mitre_attck_defense_evasion: PT-CR-194: Csc_AWL_Bypass: Попытка обойти запрет на запуск приложений с помощью встроенной утилиты Microsoft Windows csc.exe (используется .NET для компиляции кода C#) mitre_attck_defense_evasion: PT-CR-457: Pcalua_AWL_Bypass: Попытка обойти запрет на запуск приложений с помощью встроенной утилиты Microsoft Windows pcalua.exe (помощник по совместимости программ) mitre_attck_defense_evasion: PT-CR-940: SharpEventPersist_Usage: Запуск утилиты SharpEventPersist, используемой для закрепления в системе mitre_attck_defense_evasion: PT-CR-195: InstallUtil_AWL_Bypass: Попытка обойти запрет на запуск приложений с помощью встроенной утилиты Microsoft Windows installutil.exe (утилита командной строки, которая позволяет устанавливать и удалять ресурсы сервера, запуская компоненты установщика в указанных сборках) mitre_attck_defense_evasion: PT-CR-652: WDAC_Bypass_Via_Dbgsrv: Пользователь запустил отладчик приложений mitre_attck_defense_evasion: PT-CR-337: Msiexec_AWL_Bypass: Попытка обойти запрет на запуск приложений с помощью встроенной утилиты Microsoft Windows msiexec.exe (используется для выполнения файлов MSI) mitre_attck_defense_evasion: PT-CR-197: RegAsm_Or_RegSvcs_AWL_Bypass: Попытка обойти запрет на запуск приложений с помощью встроенной утилиты Microsoft Windows regasm.exe (средство регистрации сборок) или regsvcs.exe (программа установки служб .NET) mitre_attck_defense_evasion: PT-CR-198: Regsvr32_AWL_Bypass: Попытка обойти запрет на запуск приложений с помощью встроенной утилиты Microsoft Windows regsvr32.exe (используется для регистрации DLL) mitre_attck_defense_evasion: PT-CR-338: MSXSL_AWL_Bypass: Попытка обойти запрет на запуск приложений с помощью встроенной утилиты Microsoft Windows msxsl.exe (утилита командной строки для преобразования XSL) mitre_attck_defense_evasion: PT-CR-455: Mavinject_AWL_Bypass: Попытка обойти запрет на запуск приложений с помощью встроенной утилиты Microsoft Windows mavinject.exe (предоставляется клиентом App-V) mitre_attck_persistence: PT-CR-568: IIS_Native_Module_Installation: Обнаружена попытка установить модуль расширения Internet Information Services с помощью утилиты аppcmd.exe mitre_attck_persistence: PT-CR-264: Add_New_User_In_Commandline: Обнаружена попытка создать учетную запись при помощи командной строки или PowerShell mitre_attck_persistence: PT-CR-271: Service_Created_Or_Modified: Обнаружена попытка выполнить операции со службами Microsoft Windows через командную строку или PowerShell mitre_attck_collection: PT-CR-500: Documents_Access_Via_Console: Взаимодействие с документами Office через cmd.exe или PowerShell mitre_attck_collection: PT-CR-1932: Copying_Files: Копирование файлов и папок с помощью утилит xcopy, robocopy, команды copy, командлета Copy-Item mitre_attck_collection: PT-CR-1012: Export_Certs: Попытка экспорта сертификатов или ключевых контейнеров sap_suspicious_user_activity: PT-CR-254: SAPASABAP_GW_Sapxpg_Call: Запуск SAPXPG mitre_attck_command_and_control: PT-CR-609: Download_File_Through_Windows_Defender: Обнаружена попытка скачать файл с помощью антивируса Windows Defender mitre_attck_cred_access: PT-CR-298: Access_System_Credential_Files_Via_Cmdline: Обнаружена попытка получить учетные данные пользователей операционной системы mitre_attck_cred_access: PT-CR-299: LAPS_Enumeration: Поиск пользователей, групп и компьютеров, имеющих доступ к Microsoft LAPS (Local Administrator Password Solution). LAPS автоматически управляет паролем учетной записи локального администратора и создает резервную копию пароля на устройствах, подключенных к службам Active Directory mitre_attck_cred_access: PT-CR-567: ProcDump_Usage: Информация процесса LSASS сохранена с помощью утилиты ProcDump mitre_attck_lateral_movement: PT-CR-227: RDP_Session_Hijacking: Обнаружен запуск утилиты "tscon", позволяющий выполнить перехват сеанса RDP mitre_attck_lateral_movement: PT-CR-1374: Impacket_Like_Execution: Паттерны выполнения сценариев, созданных на основе инструмента Impacket mitre_attck_lateral_movement: PT-CR-1370: Remote_Execution_Via_Custom_Impacket: Перемещение внутри периметра с помощью исполнения кода через протокол SMB (с помощью утилиты, созданной на основе инструмента Impacket) mitre_attck_lateral_movement: PT-CR-787: RDP_Shadow_Session_Initiation: Обнаружен запуск утилиты mstsc.exe с флагом /shadow для создания теневого RDP-подключения hacking_tools: PT-CR-373: SharpWMI_Usage: Обнаружено возможное использование программного обеспечения SharpWMI hacking_tools: PT-CR-371: Rubeus_Usage: Обнаружено возможное использование программного обеспечения Rubeus hacking_tools: PT-CR-840: SharpKatz_Usage: Обнаружены признаки использования программного обеспечения SharpKatz hacking_tools: PT-CR-586: Metasploit_Payload: Обнаружено возможное исполнение полезной нагрузки Metasploit hacking_tools: PT-CR-374: Sliver_Shell_Usage: Обнаружено возможное использование программного обеспечения Sliver Shell hacking_tools: PT-CR-839: SharPersist_Usage: Обнаружено возможное использование утилиты SharPersist hacking_tools: PT-CR-370: NetCat_Usage: Обнаружено возможное использование программного обеспечения NetCat, Socat или Powercat hacking_tools: PT-CR-2134: SharpToken_Usage: Использован инструмент SharpToken, который ищет утечки токенов во всех процессах системы и эксплуатирует их. Если злоумышленники получили доступ к учетной записи с низким уровнем привилегий, этот инструмент позволит им повысить привилегии до "NT AUTHORITY\SYSTEM". Также с помощью SharpToken можно захватить интерактивный сеанс пользователя hacking_tools: PT-CR-1852: PPLBlade_Cmdline: Возможное использование ПО PPLBlade, предназначенного для скрытого дампа памяти процесса LSASS hacking_tools: PT-CR-759: SharpMapExec_Usage: Обнаружено возможное использование утилиты SharpMapExec hacking_tools: PT-CR-369: Mimikatz_Command: Обнаружено возможное использование программного обеспечения Mimikatz hacking_tools: PT-CR-372: SharpSploit_Usage: Обнаружено возможное использование программного обеспечения SharpSploit hacking_tools: PT-CR-588: Windows_Hacktool_Usage: Обнаружено возможное использование утилит для анализа защищенности систем Windows postgresql_database: PT-CR-1899: PostgreSQL_Code_Execution: Запуск процесса от имени учетной записи базы данных может свидетельствовать о попытке злоумышленника, получившего возможность выполнять запросы к базе данных, повысить привилегии postgresql_database: PT-CR-1902: PostgreSQL_File_System_Actions: Взаимодействие базы данных PostgreSQL с файловой системой может свидетельствовать о разведке или попытках злоумышленника повысить привилегии в том случае, если это не штатная интеграция базы данных с внешними системами postgresql_database: PT-CR-1903: Subrule_PostgreSQL_Create_Process: Порождение подпроцессов процесcа базы данных PostgreSQL

Способы обнаружения

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Отслеживайте команды с аргументами, которые могут использоваться для выполнения вредоносного кода через командную оболочку Windows. Администраторы, разработчики и опытные пользователи могут часто использовать командную оболочку Windows, если этого требуют их должностные обязанности. Если у обычных пользователей нет прав на выполнение сценариев, то любая попытка включить поддержку сценариев должна рассматриваться как подозрительная. Если использование сценариев в системе допустимо, но не является типичным, их выполнение вне цикла обновлений или других административных задач должно рассматриваться как подозрительное. По возможности сохраняйте сценарии, записанные в файловой системе, для последующего анализа действий и целей злоумышленников.

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Отслеживайте запуск новых процессов, в которых может использоваться командная оболочка Windows для выполнения вредоносного кода.

Примечание. Для аналитики можно создать список стандартных родительских процессов cmd, которые выполнялись за последние 30 дней, и список родительских процессов cmd, выполняемых сегодня. Сопоставив эти списки, вы обнаружите новые родительские процессы. Эта аналитика проверяет программы, запускающие процесс cmd, чтобы выявить среди них подозрительные, которые обычно не запускают cmd.  Некоторые программы нередко запускают подпроцесс cmd, например, для выполнения пакетных файлов или команд Windows. При этом многие процессы, как правило, не используют командную строку, например Microsoft Outlook. Запуск командной строки процессом, который обычно этого не делает, может происходить в результате внедрения вредоносного кода в этот процесс или замены злоумышленником легитимной программы на вредоносную.

Аналитика 1. Выполнение нетипичных команд

(source="WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode="1") OR (source="WinEventLog:Security" EventCode="4688") AND CommandLine=“cmd.exe” AND (CommandLine REGEXP "./c." OR CommandLine REGEXP ".._ /k.*")

Меры противодействия

IDM1038НазваниеЗащита от выполненияОписание

По мере необходимости используйте контроль приложений.