ATT&CK-CN V1.01 Last Update: 2019-11 [返回索引页]

译者: 林妙倩(清华大学网络研究院网络空间安全实习生)、戴亦仑(赛宁网安) 原创翻译作品,如果需要转载请取得翻译作者同意。

数据来源:ATT&CK Matrices

原文: https://attack.mitre.org/techniques/T1153

术语表: /attack/glossary

Source

Source 命令将函数加载到当前 shell 中,或在当前上下文中执行文件。这个内置命令可以以两种不同的方式运行:/path/to/filename [arguments]./path/to/filename [arguments] 注意"."后面的空格。如果没有空格,将创建新 shell 来运行程序,而不是在当前上下文中运行程序。该命令通常用于使 shell 可以使用某些特性或函数,或者更新特定 shell 的环境。

攻击者可以滥用此功能来执行程序。使用该技术执行的文件不需要预先标记为可执行文件。

缓解

由于 source 命令的潜在合法使用,可能很难缓解这种技术的使用

检测

监视由 source 命令执行而启动的源和后续进程的命令 shell 执行。 攻击者必须将文件放到磁盘中以便使用 source 执行,而这些文件可以通过文件监视检测到。