T1202: Непрямое выполнение команд

Злоумышленники могут использовать утилиты, позволяющие выполнять команды, для обхода ограничений безопасности, связанных с использованием интерпретаторов командной строки. Для выполнения команд, в том числе без вызова cmd, могут использоваться различные утилиты для Windows. Например, forfiles, помощник по совместимости программ (pcalua.exe), компоненты подсистемы Windows для Linux (WSL) и другие утилиты могут инициировать выполнение программ и команд с помощью интерпретаторов командной строки, окна "Выполнить" или сценариев .

Злоумышленники могут использовать эти функции для предотвращения обнаружения, в частности для выполнения произвольных файлов в обход средств обнаружения и (или) контроля (например, групповых политик), которые ограничивают или запрещают использование интерпретатора командной строки cmd или файлов с расширениями, чаще всего ассоциируемыми с полезными нагрузками.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_defense_evasion: PT-CR-955: Wlrmdr_LOLBin: Обход средств защиты с помощью wlrmdr.exe mitre_attck_defense_evasion: PT-CR-457: Pcalua_AWL_Bypass: Попытка обойти запрет на запуск приложений с помощью встроенной утилиты Microsoft Windows pcalua.exe (помощник по совместимости программ)

Способы обнаружения

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Отслеживайте выполнение команд с аргументами, которые могут позволить обойти ограничения безопасности, связанные с использованием интерпретаторов командной строки.

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Отслеживайте создание процессов и (или) выполнение командных строк, которые могут использоваться вместо вызова cmd (например, pcalua.exe, winrs.exe, cscript/wscript.exe, hh.exe или bash.exe).