ATT&CK-CN V1.01 Last Update: 2019-11 [返回索引页]

译者: 林妙倩(清华大学网络研究院网络空间安全实习生)、戴亦仑(赛宁网安) 原创翻译作品,如果需要转载请取得翻译作者同意。

数据来源:ATT&CK Matrices

原文: https://attack.mitre.org/techniques/T1059

术语表: /attack/glossary

命令行界面

命令行界面提供了一种与计算机系统交互的方式,许多操作系统平台都有该功能。在 Windows 系统上命令行界面的一个例子是 cmd,它可以用来执行许多任务,包括执行其他软件。命令行界面可以在本地交互,也可以通过远程桌面应用程序、反向 shell 会话等进行远程交互。执行的命令以命令行界面进程的当前权限级别运行,除非该命令包含更改该执行的权限上下文的进程调用(例如,计划的任务 Scheduled Task)。

攻击者可以使用命令行界面与系统交互,并在操作过程中执行其他软件。

缓解

在适当的情况下使用白名单 工具(如 AppLocker、或软件限制策略 ) 审计和/或拦截命令行解释器。

检测

可以通过用命令行参数适当记录进程执行捕获命令行界面活动。这些信息可以帮助他们通过攻击者使用本机进程或自定义工具的方式更多地了解攻击者行为。