T1220
اجرای proxy با XSL Script
XSL Script Processingتوضیحات
مهاجمان از XSL (Extensible Stylesheet Language) برای اجرای کد مخرب از طریق msxsl.exe یا wmic.exe استفاده میکنند. فایلهای XSL میتوانند شامل اسکریپتهای JScript یا VBScript باشند که در هنگام پردازش XSL اجرا میشوند.
روشهای شناسایی
نظارت بر اجرای msxsl.exe و wmic.exe با فایلهای XSL. شناسایی پردازش XSL از URLهای خارجی. بررسی محتوای فایلهای XSL. تحلیل رفتار فرآیندها.
روشهای مقابله
پیادهسازی Application Whitelisting. نظارت بر msxsl.exe و wmic.exe. محدود کردن دسترسی به این ابزارها. استفاده از EDR. فعالسازی Audit Process Creation.