Техники: T1027 , T1027.001 , T1027.002 , T1027.003 , T1027.004 , T1027.005 , T1027.006 , T1027.007 , T1027.008 , T1027.009 , T1027.010 , T1027.011 , T1027.012 , T1027.013 , T1027.014
Злоумышленники могут обфусцировать содержимое во время выполнения команд, чтобы затруднить их обнаружение. Обфускация командной строки - это метод, позволяющий усложнить сигнатуру и анализ строк и шаблонов в командах и скриптах. Этот тип обфускации может быть включен в команды, выполняемые доставляемыми полезными нагрузками (например,Phishing и Drive-by Compromise) или интерактивно с помощью Command and Scripting Interpreter.(Цитата: Akamai JS)(Цитата: Malware Monday VBE)
Например, злоумышленники могут злоупотреблять синтаксисом, в котором используются различные символы и экранирующие знаки (например, пробел, `^`, `+`. Многие языки поддерживают встроенную обфускацию в виде кодировки base64 или URL.(Цитата: Microsoft PowerShellB64) Злоумышленники также могут вручную реализовать обфускацию команд с помощью разделения строк (`"Wor "+"d.Application"`), порядок и регистр символов (`rev <<<'dwssap/cte/ tac'`), globing (`mkdir -p '/tmp/:&$NiA'`), а также различные трюки с передачей строк через токены/переменные окружения/входные потоки.(Цитата: Bashfuscator Command Obfuscators)(Цитата: FireEye Obfuscation June 2017)
Злоумышленники также могут использовать такие трюки, как обход каталогов, для обфускации ссылок на двоичный файл, вызываемый командой (`C:\voi\pcw\..\..\Windows\tei\qs\k\.\..\..\system32\erool\.\wbem\wg\je\.\..\..\wmic.exe shadowcopy delete`).(Цитата: Twitter Richard WMIC)
Для обфускации команд также использовались такие инструменты, как Invoke-Obfuscation и Invoke-DOSfucation.(Цитата: Invoke-DOSfuscation)(Цитата: Invoke-Obfuscation)
https://attack.mitre.org/techniques/T1027/010
Визуализация смежных техник для T1027.010
| № | Техника |
|---|
