MITRE ATT&CK - Техника Выполнение через подписанный сценарий

Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

Наш канал

Выполнение через подписанный сценарий

Sub-techniques (1)

ID	Name
.001	Сценарий PubPrn

Adversaries may use trusted scripts, often signed with certificates, to proxy the execution of malicious files. Several Microsoft signed scripts that have been downloaded from Microsoft or are default on Windows installations can be used to proxy execution of other files.(Citation: LOLBAS Project) This behavior may be abused by adversaries to execute malicious files that could bypass application control and signature validation on systems.(Citation: GitHub Ultimate AppLocker Bypass List)

ID: T1216

Суб-техники: .001

Тактика(-и): Defense Evasion

Платформы: Windows

Источники данных: Command: Command Execution, Process: Process Creation, Script: Script Execution

Версия: 2.0

Дата создания: 18 Apr 2018

Последнее изменение: 18 Apr 2022

Контрмера	Описание
Контрмеры
Signed Script Proxy Execution Mitigation	Certain signed scripts that can be used to execute other programs may not be necessary within a given environment. Use application whitelisting configured to block execution of these scripts if they are not required for a given system or network to prevent potential misuse by adversaries.
Execution Prevention	Block execution of code on a system through application control, and/or script blocking.

Обнаружение

Monitor script processes, such as `cscript`, and command-line parameters for scripts like PubPrn.vbs that may be used to proxy execution of malicious files.

Ссылки

Связанные риски

Ничего не найдено

Каталоги

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.