ATT&CK-CN V1.0 Last Update: 2019-03 [返回索引页]

译者: 林妙倩(清华大学网络研究院网络空间安全实习生) 原创翻译作品,如果需要转载请取得翻译作者同意。

数据来源:ATT&CK Matrices

原文: https://attack.mitre.org/techniques/T1202

术语表: /attack/glossary

间接命令执行

可以使用各种 Windows 实用程序执行命令而不需要调用 cmd。 例如,Forfiles、程序兼容性助手、适用于 Linux 的 Windows 子系统 (WSL) 的组件以及其他实用程序可以通过命令行界面、运行窗口或脚本执行程序和命令。

攻击者可能会滥用这些实用程序来规避防御,特别是为了任意执行而破坏用于限制/阻止 cmd 使用的检测和/或缓解措施(如组策略)。

缓解

在适当的情况下使用白名单工具(如 AppLocker、 或软件限制策略 ) 识别或拦截可能包含滥用功能的潜在恶意软件。 这些机制还可用于禁用和/或限制用户对用于调用执行的 Windows 实用程序的访问。

检测

监视和分析来自基于主机的检测机制(如 Sysmon) 的日志,以查找包括或由与调用程序/命令和/或生成子进程相关的参数产生的事件,如进程创建。