Примеры обнаружения с помощью продуктов "Кода Безопасности":
Техники: T1059 , T1059.001 , T1059.002 , T1059.003 , T1059.004 , T1059.005 , T1059.006 , T1059.007 , T1059.008 , T1059.009 , T1059.010 , T1059.011
Злоумышленники могут злоупотреблять командами и сценариями PowerShell для их выполнения. PowerShell - это мощный интерактивный интерфейс командной строки и среда создания сценариев, входящая в состав операционной системы Windows.(Цитата: TechNet PowerShell) Злоумышленники могут использовать PowerShell для выполнения ряда действий, включая поиск информации и выполнение кода. В качестве примера можно привести команду Start-Process, которая может использоваться для запуска исполняемого файла, и команду Invoke-Command, которая запускает команду локально или на удаленном компьютере (хотя для использования PowerShell для подключения к удаленным системам требуются права администратора).
PowerShell также можно использовать для загрузки и запуска исполняемых файлов из Интернета, которые могут быть выполнены с диска или в памяти без обращения к диску.
ряд инструментов для тестирования наступательных операций на базе PowerShell, включая Empire, PowerSploit, PoshC2 и PSAttack.(Цитата: Github PSAttack)
Команды/скрипты PowerShell также могут выполняться без прямого вызова powershell.exe через интерфейсы к базовой DLL-сборке PowerShell System.Management.Automation, открытые через фреймворк .NET и интерфейс общего языка (CLI) Windows.(Цитата: Sixdub PowerPick Jan 2016)(Цитата: SilentBreak Offensive PS Dec 2015)(Цитата: Microsoft PSfromCsharp APR 2014)
https://attack.mitre.org/techniques/T1059/001
Визуализация смежных техник для T1059.001
| № | Техника |
|---|
