2024年4月15日01:45:37评论4 views字数 380阅读1分16秒阅读模式

间接命令执行

可以使用各种 Windows 实用程序执行命令而不需要调用 cmd。
例如，Forfiles、程序兼容性助手、适用于 Linux 的 Windows 子系统 (WSL) 的组件以及其他实用程序可以通过命令行界面、运行窗口或脚本执行程序和命令。

攻击者可能会滥用这些实用程序来规避防御，特别是为了任意执行而破坏用于限制/阻止 cmd 使用的检测和/或缓解措施（如组策略）。

缓解

在适当的情况下使用白名单工具（如 AppLocker、或软件限制策略 ) 识别或拦截可能包含滥用功能的潜在恶意软件。
这些机制还可用于禁用和/或限制用户对用于调用执行的 Windows 实用程序的访问。

监视和分析来自基于主机的检测机制（如 Sysmon) 的日志，以查找包括或由与调用程序/命令和/或生成子进程相关的参数产生的事件，如进程创建。

- 译者: 林妙倩、戴亦仑 . source:cve.scap.org.cn