PT Network Attack Discovery

Помогает восстановить хронологию атаки, определить источник и масштаб угрозы

T1216: Выполнение через системный сценарий

Злоумышленники могут использовать доверенные сценарии, обычно подписанные сертификатами, для выполнения вредоносных файлов. Некоторые сценарии, подписанные сертификатом Microsoft, которые были скачаны с официального сайта Microsoft или входят в стандартную комплектацию Windows, могут использоваться для запуска других файлов. Злоумышленники могут злоупотреблять такими сценариями для выполнения вредоносных файлов, что позволяет им обходить механизмы контроля приложений и проверку цифровой подписи.

Какие продукты Positive Technologies покрывают технику

Как обнаружить

PT NAD при помощи детектирующих правил и фильтров способен обнаруживать артефакты загрузки и удаленного выполнения вредоносных файлов путем злоупотребления функциональностью сценария PubPrn.vbs.

Пример правил обнаружения PT NAD

  • ATTACK [PTsecurity] WScript.Shell Run HTML Code Execution Attempt (sid 10003456)

Примеры фильтров PT NAD

  • files.filename ~ "*.sct"

Способы обнаружения

IDDS0012Источник и компонент данныхСценарий: Выполнение сценарияОписание

Отслеживайте попытки включить поддержку сценариев в системе и рассматривайте их как подозрительные. Если использование сценариев в системе допустимо, но не является типичным, их выполнение вне цикла обновлений или других административных задач должно рассматриваться как подозрительное. По возможности сохраняйте сценарии, записанные в файловой системе, для последующего анализа действий и целей злоумышленников.

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Отслеживайте использование сценариев, например процессы сервера сценариев cscript, которые могут обеспечивать выполнение вредоносных файлов.

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Отслеживайте выполнение команд с аргументами, которые могут использоваться для запуска таких сценариев, как PubPrn.vbs, способных обеспечивать выполнение вредоносных файлов.

Меры противодействия

IDM1038НазваниеЗащита от выполненияОписание

Некоторые подписанные сценарии, которые могут использоваться для выполнения других программ, могут быть не нужны в конкретной среде. Используйте контроль приложений, настроенный на блокировку выполнения этих сценариев, если они не требуются для данной системы или сети, чтобы предотвратить потенциальное использование злоумышленниками.