ATT&CK-CN V1.01 Last Update: 2019-11 [返回索引页]
译者: 林妙倩、戴亦仑 原创翻译作品,如果需要转载请取得翻译作者同意。
数据来源:ATT&CK Matrices
原文: https://attack.mitre.org/techniques/T1202
术语表: /attack/glossary
间接命令执行
可以使用各种 Windows 实用程序执行命令而不需要调用 cmd。 例如,Forfiles、程序兼容性助手、适用于 Linux 的 Windows 子系统 (WSL) 的组件以及其他实用程序可以通过命令行界面、运行窗口或脚本执行程序和命令。
攻击者可能会滥用这些实用程序来规避防御,特别是为了任意执行而破坏用于限制/阻止 cmd 使用的检测和/或缓解措施(如组策略)。
缓解
在适当的情况下使用白名单工具(如 AppLocker、 或软件限制策略 ) 识别或拦截可能包含滥用功能的潜在恶意软件。 这些机制还可用于禁用和/或限制用户对用于调用执行的 Windows 实用程序的访问。
检测
监视和分析来自基于主机的检测机制(如 Sysmon) 的日志,以查找包括或由与调用程序/命令和/或生成子进程相关的参数产生的事件,如进程创建。