T1202
اجرای غیرمستقیم فرمان
Indirect Command Executionتوضیحات
مهاجمان از ابزارهایی استفاده میکنند که میتوانند دستورات را به صورت غیرمستقیم اجرا کنند تا از نظارت بر shellها فرار کنند. ابزارهایی مانند forfiles، pcalua.exe، bash.exe و سایر ابزارهای ویندوز میتوانند برای اجرای دستورات بدون استفاده مستقیم از cmd.exe یا PowerShell استفاده شوند.
روشهای شناسایی
نظارت بر استفاده از ابزارهای اجرای غیرمستقیم. شناسایی forfiles و pcalua.exe با آرگومانهای مشکوک. بررسی زنجیره فرآیندها. تحلیل رفتار ابزارهای سیستمی.
روشهای مقابله
پیادهسازی Application Whitelisting. نظارت بر ابزارهای اجرای غیرمستقیم. استفاده از EDR. محدود کردن دسترسی به ابزارهای سیستمی. فعالسازی Audit Process Creation.