پوسته فرمان ویندوز
Windows Command Shellتوضیحات
مهاجمان از Windows Command Shell (cmd.exe) برای اجرای دستورات و اسکریپتهای batch استفاده میکنند. cmd.exe یک shell داخلی ویندوز است که دسترسی به سیستمعامل و فایلها را فراهم میکند. مهاجمان میتوانند از آن برای اجرای دستورات، مدیریت فایلها و راهاندازی سایر فرآیندها استفاده کنند.
روشهای شناسایی
نظارت بر اجرای cmd.exe با آرگومانهای مشکوک. شناسایی اسکریپتهای batch مخرب. بررسی دستوراتی که از طریق cmd.exe اجرا میشوند. تحلیل زنجیره فرآیندهای ایجاد شده.
روشهای مقابله
محدود کردن دسترسی به cmd.exe. پیادهسازی Application Whitelisting. نظارت بر اجرای دستورات. استفاده از Windows Defender Application Control. آموزش کاربران.
تکنیک اصلی
مفسر دستور و اسکریپت
مهاجمان از مفسرهای دستور و اسکریپت برای اجرای دستورات، اسکریپتها یا باینریها سوءاستفاده میکنند. این رابطها و زبانها در اکثر سیستمها به صورت پیشفرض وجود دارند. مهاجمان میتوانند از این ابزارها برای اجرای کد مخرب، دور زدن کنترلهای امنیتی و ایجاد پایداری استفاده کنند.