T1202: Непрямое выполнение команд
Злоумышленники могут использовать утилиты, позволяющие выполнять команды, для обхода ограничений безопасности, связанных с использованием интерпретаторов командной строки. Для выполнения команд, в том числе без вызова cmd, могут использоваться различные утилиты для Windows. Например, forfiles, помощник по совместимости программ (pcalua.exe), компоненты подсистемы Windows для Linux (WSL) и другие утилиты могут инициировать выполнение программ и команд с помощью интерпретаторов командной строки, окна "Выполнить" или сценариев .
Злоумышленники могут использовать эти функции для предотвращения обнаружения, в частности для выполнения произвольных файлов в обход средств обнаружения и (или) контроля (например, групповых политик), которые ограничивают или запрещают использование интерпретатора командной строки cmd или файлов с расширениями, чаще всего ассоциируемыми с полезными нагрузками.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
mitre_attck_defense_evasion: PT-CR-955: Wlrmdr_LOLBin: Обход средств защиты с помощью wlrmdr.exe mitre_attck_defense_evasion: PT-CR-457: Pcalua_AWL_Bypass: Попытка обойти запрет на запуск приложений с помощью встроенной утилиты Microsoft Windows pcalua.exe (помощник по совместимости программ)
Способы обнаружения
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Отслеживайте выполнение команд с аргументами, которые могут позволить обойти ограничения безопасности, связанные с использованием интерпретаторов командной строки. |
---|
ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Отслеживайте создание процессов и (или) выполнение командных строк, которые могут использоваться вместо вызова cmd (например, pcalua.exe, winrs.exe, cscript/wscript.exe, hh.exe или bash.exe). |
---|