Техника на mitre.org

T1216: Выполнение через системный сценарий

Злоумышленники могут использовать доверенные сценарии, обычно подписанные сертификатами, для выполнения вредоносных файлов. Некоторые сценарии, подписанные сертификатом Microsoft, которые были скачаны с официального сайта Microsoft или входят в стандартную комплектацию Windows, могут использоваться для запуска других файлов. Злоумышленники могут злоупотреблять такими сценариями для выполнения вредоносных файлов, что позволяет им обходить механизмы контроля приложений и проверку цифровой подписи.

Какие продукты Positive Technologies покрывают технику

Как обнаружить

PT NAD при помощи детектирующих правил и фильтров способен обнаруживать артефакты загрузки и удаленного выполнения вредоносных файлов путем злоупотребления функциональностью сценария PubPrn.vbs.

Пример правил обнаружения PT NAD

ATTACK [PTsecurity] WScript.Shell Run HTML Code Execution Attempt (sid 10003456)

Примеры фильтров PT NAD

files.filename ~ "*.sct"

Подтехники

T1216.001 Сценарий PubPrn

Способы обнаружения

ID	DS0017	Источник и компонент данных	Команда: Выполнение команд	Описание	Отслеживайте выполнение команд с аргументами, которые могут использоваться для запуска таких сценариев, как PubPrn.vbs, способных обеспечивать выполнение вредоносных файлов.

ID	DS0009	Источник и компонент данных	Процесс: Создание процесса	Описание	Отслеживайте использование сценариев, например процессы сервера сценариев `cscript`, которые могут обеспечивать выполнение вредоносных файлов.

ID	DS0012	Источник и компонент данных	Сценарий: Выполнение сценария	Описание	Отслеживайте попытки включить поддержку сценариев в системе и рассматривайте их как подозрительные. Если использование сценариев в системе допустимо, но не является типичным, их выполнение вне цикла обновлений или других административных задач должно рассматриваться как подозрительное. По возможности сохраняйте сценарии, записанные в файловой системе, для последующего анализа действий и целей злоумышленников.

ID	Источник и компонент данных	Описание
DS0017	Команда: Выполнение команд	Отслеживайте выполнение команд с аргументами, которые могут использоваться для запуска таких сценариев, как PubPrn.vbs, способных обеспечивать выполнение вредоносных файлов.
DS0009	Процесс: Создание процесса	Отслеживайте использование сценариев, например процессы сервера сценариев `cscript`, которые могут обеспечивать выполнение вредоносных файлов.
DS0012	Сценарий: Выполнение сценария	Отслеживайте попытки включить поддержку сценариев в системе и рассматривайте их как подозрительные. Если использование сценариев в системе допустимо, но не является типичным, их выполнение вне цикла обновлений или других административных задач должно рассматриваться как подозрительное. По возможности сохраняйте сценарии, записанные в файловой системе, для последующего анализа действий и целей злоумышленников.

Меры противодействия

ID	M1038	Название	Защита от выполнения	Описание	Некоторые подписанные сценарии, которые могут использоваться для выполнения других программ, могут быть не нужны в конкретной среде. Используйте контроль приложений, настроенный на блокировку выполнения этих сценариев, если они не требуются для данной системы или сети, чтобы предотвратить потенциальное использование злоумышленниками.

ID	Название	Описание
M1038	Защита от выполнения	Некоторые подписанные сценарии, которые могут использоваться для выполнения других программ, могут быть не нужны в конкретной среде. Используйте контроль приложений, настроенный на блокировку выполнения этих сценариев, если они не требуются для данной системы или сети, чтобы предотвратить потенциальное использование злоумышленниками.