ATT&CK-CN V1.0 Last Update: 2019-03 [返回索引页]

译者: 林妙倩(清华大学网络研究院网络空间安全实习生) 原创翻译作品,如果需要转载请取得翻译作者同意。

数据来源:ATT&CK Matrices

原文: https://attack.mitre.org/techniques/T1064

术语表: /attack/glossary

脚本

攻击者可以使用脚本来帮助操作并执行多个操作,否则需要手动执行这些操作。脚本编写对于加速操作任务和减少访问关键资源所需的时间非常有用。一些脚本语言可以通过API与操作系统交互而不是调用其他程序来绕过进程监控机制。Windows的常用脚本语言包括VBScript和PowerShell,但也可以采用命令行批处理脚本的形式。

脚本可以作为宏嵌入到Office文档中,当打开鱼叉式钓鱼附件和其他类型的鱼叉式钓鱼的文件时,可以执行这些宏。恶意的内嵌宏是一种替代的执行方式,而不是利用客户端执行技术(Exploitation for Client Execution)来利用软件,在客户端执行中,攻击者将依赖于允许使用的macos或者用户愿意激活它们。

存在许多流行的攻击框架,它们使用与安全测试人员和攻击者脚本相似的形式。、和PowerSploit是在渗透测试人员中常见的用于攻击和后渗透攻击操作的三个例子,其中包括许多用于规避防御的功能。已知一些攻击者使用PowerShell。

缓解

关闭未使用的功能或限制对脚本引擎(如VBScript)或可编写脚本的管理框架(如PowerShell )的访问。

配置Office安全设置以启用受保护视图,在沙箱环境中执行,并通过组策略拦截宏。其他类型的虚拟化和应用程序微分段也可以减轻攻击的影响。实施中可能还存在其他漏利用和缺陷的风险。

检测

脚本可能在管理员,开发人员或高级用户系统上很常见,具体取决于工作功能。如果脚本对于普通用户来说是受限的,那么在系统上任何尝试运行脚本的行为都将视为可疑。如果脚本在系统上不常用但已启用,则从补丁周期或其他管理员功能中运行的脚本是可疑的。­应尽可能从文件系统中捕获脚本以确定其操作和意图。

脚本可能会在系统上执行各种可能会产生事件的操作,具体取决于使用的监控类型。监视脚本执行和后续行为的进程和命令行参数。动作可能与网络和系统信息披露、收集或其他可编写脚本的后渗透攻击行为有关,并且可以用作返回源脚本的检测指示符。

分析Office文件附件中的潜在恶意宏。宏的执行可能会创建可疑的进程树,具体取决于宏的设计用途。Office 进程,如winword.exe,生成cmd.exe,脚本应用程序,如wscript.exe或powershell.exe,或其他可疑的进程,可能表示存在恶意活动。