T1216: Выполнение через системный сценарий
Злоумышленники могут использовать доверенные сценарии, обычно подписанные сертификатами, для выполнения вредоносных файлов. Некоторые сценарии, подписанные сертификатом Microsoft, которые были скачаны с официального сайта Microsoft или входят в стандартную комплектацию Windows, могут использоваться для запуска других файлов. Злоумышленники могут злоупотреблять такими сценариями для выполнения вредоносных файлов, что позволяет им обходить механизмы контроля приложений и проверку цифровой подписи.
Какие продукты Positive Technologies покрывают технику
Как обнаружить
PT NAD при помощи детектирующих правил и фильтров способен обнаруживать артефакты загрузки и удаленного выполнения вредоносных файлов путем злоупотребления функциональностью сценария PubPrn.vbs.
Пример правил обнаружения PT NAD
- ATTACK [PTsecurity] WScript.Shell Run HTML Code Execution Attempt (sid 10003456)
Примеры фильтров PT NAD
- files.filename ~ "*.sct"
Способы обнаружения
ID | DS0012 | Источник и компонент данных | Сценарий: Выполнение сценария | Описание | Отслеживайте попытки включить поддержку сценариев в системе и рассматривайте их как подозрительные. Если использование сценариев в системе допустимо, но не является типичным, их выполнение вне цикла обновлений или других административных задач должно рассматриваться как подозрительное. По возможности сохраняйте сценарии, записанные в файловой системе, для последующего анализа действий и целей злоумышленников. |
---|
ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Отслеживайте использование сценариев, например процессы сервера сценариев |
---|
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Отслеживайте выполнение команд с аргументами, которые могут использоваться для запуска таких сценариев, как PubPrn.vbs, способных обеспечивать выполнение вредоносных файлов. |
---|
Меры противодействия
ID | M1038 | Название | Защита от выполнения | Описание | Некоторые подписанные сценарии, которые могут использоваться для выполнения других программ, могут быть не нужны в конкретной среде. Используйте контроль приложений, настроенный на блокировку выполнения этих сценариев, если они не требуются для данной системы или сети, чтобы предотвратить потенциальное использование злоумышленниками. |
---|