ATT&CK-CN V1.01 Last Update: 2019-11 [返回索引页]
译者: 林妙倩、戴亦仑 原创翻译作品,如果需要转载请取得翻译作者同意。
数据来源:ATT&CK Matrices
原文: https://attack.mitre.org/techniques/T1153
术语表: /attack/glossary
Source
Source 命令将函数加载到当前 shell 中,或在当前上下文中执行文件。这个内置命令可以以两种不同的方式运行:/path/to/filename [arguments] 或 ./path/to/filename
[arguments] 注意"."后面的空格。如果没有空格,将创建新 shell 来运行程序,而不是在当前上下文中运行程序。该命令通常用于使 shell 可以使用某些特性或函数,或者更新特定 shell 的环境。
攻击者可以滥用此功能来执行程序。使用该技术执行的文件不需要预先标记为可执行文件。
缓解
由于 source 命令的潜在合法使用,可能很难缓解这种技术的使用
检测
监视由 source 命令执行而启动的源和后续进程的命令 shell 执行。 攻击者必须将文件放到磁盘中以便使用 source 执行,而这些文件可以通过文件监视检测到。