T1216
اجرای proxy با اسکریپت امضاشده
System Script Proxy Executionتوضیحات
مهاجمان از اسکریپتهای امضاشده سیستمی برای اجرای payloadهای مخرب استفاده میکنند. اسکریپتهایی مانند PubPrn.vbs و SyncAppvPublishingServer.vbs میتوانند برای دانلود و اجرای کد مخرب از راه دور استفاده شوند.
روشهای شناسایی
نظارت بر اجرای اسکریپتهای سیستمی با آرگومانهای غیرعادی. شناسایی دانلود از URLهای خارجی توسط اسکریپتهای سیستمی. بررسی رفتار اسکریپتهای امضاشده. تحلیل ترافیک شبکه.
روشهای مقابله
پیادهسازی Application Whitelisting. نظارت بر اسکریپتهای سیستمی. محدود کردن دسترسی به اسکریپتهای سیستمی. استفاده از EDR. فعالسازی Script Block Logging.