T1059

مفسر دستور و اسکریپت

Command and Scripting Interpreter

توضیحات

مهاجمان از مفسرهای دستور و اسکریپت برای اجرای دستورات، اسکریپت‌ها یا باینری‌ها سوءاستفاده می‌کنند. این رابط‌ها و زبان‌ها در اکثر سیستم‌ها به صورت پیش‌فرض وجود دارند. مهاجمان می‌توانند از این ابزارها برای اجرای کد مخرب، دور زدن کنترل‌های امنیتی و ایجاد پایداری استفاده کنند.

زیرتکنیک‌ها (10)

شناسهنام

T1059.001

PowerShellPowerShell

مهاجمان از PowerShell برای اجرای دستورات و اسکریپت‌های مخرب استفاده می‌کنند. PowerShell یک shell تعاملی و زبان اسکریپت‌نویسی قدرتمند ویندوز است که دسترسی گسترده‌ای به سیستم‌عامل فراهم می‌کند. مهاجمان می‌توانند از PowerShell برای دانلود payload، اجرای کد در حافظه، دور زدن آنتی‌ویروس و ایجاد پایداری استفاده کنند.

T1059.002

AppleScriptAppleScript

مهاجمان از AppleScript برای اجرای رفتارهای مخرب در macOS استفاده می‌کنند. AppleScript یک زبان اسکریپت‌نویسی macOS است که به برنامه‌ها اجازه می‌دهد با یکدیگر ارتباط برقرار کنند. مهاجمان می‌توانند از AppleScript برای اجرای دستورات، دور زدن کنترل‌های امنیتی و تعامل با برنامه‌های کاربردی استفاده کنند.

T1059.003

پوسته فرمان ویندوزWindows Command Shell

مهاجمان از Windows Command Shell (cmd.exe) برای اجرای دستورات و اسکریپت‌های batch استفاده می‌کنند. cmd.exe یک shell داخلی ویندوز است که دسترسی به سیستم‌عامل و فایل‌ها را فراهم می‌کند. مهاجمان می‌توانند از آن برای اجرای دستورات، مدیریت فایل‌ها و راه‌اندازی سایر فرآیندها استفاده کنند.

T1059.004

پوسته یونیکسUnix Shell

مهاجمان از shell‌های یونیکس مانند bash، sh، zsh و fish برای اجرای دستورات و اسکریپت‌های مخرب در سیستم‌های لینوکس و macOS استفاده می‌کنند. shell‌های یونیکس ابزارهای قدرتمندی برای مدیریت سیستم هستند که می‌توانند برای اجرای کد مخرب، مدیریت فایل‌ها و ارتباط با شبکه استفاده شوند.

T1059.005

ویژوال بیسیکVisual Basic

مهاجمان از Visual Basic Script (VBScript) و Visual Basic for Applications (VBA) برای اجرای کد مخرب استفاده می‌کنند. VBScript در ویندوز به صورت پیش‌فرض وجود دارد و VBA در برنامه‌های Microsoft Office تعبیه شده است. این زبان‌ها اغلب در کمپین‌های فیشینگ از طریق ماکروهای Office مخرب استفاده می‌شوند.

T1059.006

پایتونPython

مهاجمان از Python برای اجرای اسکریپت‌ها و کدهای مخرب استفاده می‌کنند. Python یک زبان برنامه‌نویسی چندمنظوره است که در بسیاری از سیستم‌ها نصب شده است. مهاجمان می‌توانند از Python برای ایجاد ابزارهای مخرب، دانلود payload، اجرای shellcode و ارتباط با C2 استفاده کنند.

T1059.007

جاوااسکریپتJavaScript

مهاجمان از JavaScript برای اجرای کد مخرب استفاده می‌کنند. JavaScript می‌تواند از طریق مرورگر وب، Windows Script Host (wscript.exe/cscript.exe) یا Node.js اجرا شود. مهاجمان از JavaScript برای حملات drive-by download، XSS و اجرای کد در سیستم‌های ویندوز استفاده می‌کنند.

T1059.008

رابط خط فرمان دستگاه شبکهNetwork Device CLI

مهاجمان از رابط‌های خط فرمان دستگاه‌های شبکه مانند روترها و سوئیچ‌ها برای اجرای دستورات مخرب استفاده می‌کنند. CLI‌های دستگاه‌های شبکه مانند Cisco IOS، JunOS و سایر سیستم‌عامل‌های شبکه می‌توانند برای تغییر پیکربندی، ایجاد backdoor و جمع‌آوری اطلاعات استفاده شوند.

T1059.009

API ابریCloud API

مهاجمان از API‌های ابری برای اجرای دستورات و مدیریت منابع ابری استفاده می‌کنند. API‌های ارائه‌دهندگان ابری مانند AWS، Azure و GCP می‌توانند برای اجرای کد، مدیریت منابع و جمع‌آوری اطلاعات استفاده شوند. مهاجمان با دسترسی به credentials ابری می‌توانند از این API‌ها سوءاستفاده کنند.

T1059.010

AutoHotKey و AutoITAutoHotKey & AutoIT

مهاجمان از ابزارهای اتوماسیون مانند AutoHotKey و AutoIT برای اجرای کد مخرب استفاده می‌کنند. این ابزارها برای اتوماسیون وظایف ویندوز طراحی شده‌اند اما می‌توانند برای اجرای دستورات مخرب، keylogging و دور زدن کنترل‌های امنیتی استفاده شوند.

روش‌های شناسایی

نظارت بر فرآیندهای اجرا شده و آرگومان‌های خط فرمان. شناسایی اسکریپت‌های مشکوک و رفتارهای غیرعادی. بررسی لاگ‌های PowerShell و سایر مفسرها. استفاده از EDR و SIEM برای تحلیل رفتار.

روش‌های مقابله

محدود کردن دسترسی به مفسرهای اسکریپت. فعال‌سازی PowerShell Constrained Language Mode. استفاده از Application Whitelisting. غیرفعال کردن ابزارهای غیرضروری. پیاده‌سازی Script Block Logging.

گروه‌های تهدید (6)

شناسهنام گروه

G0016

APT29 — Cozy Bear

APT29 یک گروه تهدید پیشرفته مرتبط با سرویس اطلاعات خارجی روسیه (SVR) است. این گروه از سال ۲۰۰۸ فعال بوده و به حملات پیچیده علیه دولت‌ها، سازمان‌های دیپلماتیک، اندیشکده‌ها و ارائه‌دهندگان فناوری در سراسر جهان شناخته می‌شود. این گروه در حمله زنجیره تأمین SolarWinds در سال ۲۰۲۰ نقش داشته است.

نام‌های دیگر: خرس آرام، The Dukes، Midnight Blizzard

G0007

APT28 — Fancy Bear

APT28 یک گروه تهدید پیشرفته مرتبط با اطلاعات نظامی روسیه (GRU) است. این گروه از سال ۲۰۰۴ فعال بوده و به حملات علیه سازمان‌های سیاسی، نظامی، رسانه‌ای و سازمان‌های بین‌المللی شناخته می‌شود. دخالت در انتخابات ریاست‌جمهوری آمریکا در ۲۰۱۶ از مشهورترین عملیات این گروه است.

نام‌های دیگر: خرس تزئینی، Sofacy، Pawn Storm

G0003

گروه لازاروس

گروه لازاروس یک گروه تهدید پیشرفته مرتبط با کره شمالی است که از سال ۲۰۰۹ فعال می‌باشد. این گروه به انگیزه‌های مالی و جاسوسی عملیات گسترده‌ای انجام داده از جمله حمله به بانک مرکزی بنگلادش، حمله WannaCry و سرقت‌های گسترده ارز دیجیتال.

نام‌های دیگر: لازاروس، Hidden Cobra، Zinc

G0096

APT41 — Double Dragon

APT41 یک گروه تهدید پیشرفته مرتبط با چین است که هم به انگیزه جاسوسی دولتی و هم به انگیزه مالی عمل می‌کند. این گروه از سال ۲۰۱۲ فعال بوده و صنایع بهداشت، فناوری، مخالیکاسیون و بازی‌های ویدیویی را هدف قرار داده است.

نام‌های دیگر: اژدهای دوگانه، Winnti، Barium

G0064

APT33 — Elfin

APT33 یک گروه تهدید پیشرفته مرتبط با ایران است که از سال ۲۰۱۳ فعال می‌باشد. این گروه صنایع هوافضا، انرژی و پتروشیمی در عربستان سعودی، آمریکا و کره جنوبی را هدف قرار داده است.

نام‌های دیگر: الفین، Refined Kitten، Magnallium

G0125

هافنیوم

HAFNIUM یک گروه تهدید پیشرفته مرتبط با چین است که در سال ۲۰۲۱ با بهره‌برداری از آسیب‌پذیری‌های zero-day در Microsoft Exchange Server به شهرت رسید. این گروه محققان بیماری‌های عفونی، شرکت‌های حقوقی، پیمانکاران دفاعی و سازمان‌های غیردولتی را هدف قرار داده است.

نام‌های دیگر: هافنیوم

نرم‌افزارها و ابزارها (1)

شناسهنام

S001

ابزار کنترل از راه دور آرش

بدافزار کنترل از راه دور (RAT)

ابزار سفارشی برای کنترل کامل میزبان آلوده شامل Keylogging، ضبط صفحه و انتقال فایل.