T1027.010

مبهم‌سازی دستور

Command Obfuscation

توضیحات

مهاجمان دستورات shell را مبهم‌سازی می‌کنند تا از شناسایی توسط ابزارهای امنیتی فرار کنند. این شامل استفاده از کاراکترهای خاص، encoding، جایگزینی متغیر و سایر روش‌های مبهم‌سازی در PowerShell، cmd و bash می‌شود.

روش‌های شناسایی

فعال‌سازی Script Block Logging. نظارت بر دستورات مبهم‌سازی شده. استفاده از AMSI. شناسایی الگوهای مبهم‌سازی. تحلیل دستورات PowerShell.

روش‌های مقابله

فعال‌سازی Script Block Logging. استفاده از AMSI. پیاده‌سازی PowerShell Constrained Language Mode. نظارت بر دستورات. استفاده از EDR.

تکنیک اصلی

T1027Obfuscated Files or Information

فایل‌ها یا اطلاعات مبهم‌سازی شده

مهاجمان فایل‌ها، اسکریپت‌ها و payload‌ها را مبهم‌سازی می‌کنند تا شناسایی را دشوارتر کنند. این تکنیک شامل رمزگذاری، encoding، packing، steganography و سایر روش‌های پنهان‌سازی محتوای مخرب می‌شود.

سایر زیرتکنیک‌ها (4)

T1027.001 · Binary Padding T1027.002 · Software Packing T1027.004 · Compile After Delivery T1027.006 · HTML Smuggling