Обфускация команд

Злоумышленники могут обфусцировать контент во время выполнения команд, чтобы затруднить обнаружение. Обфускация командной строки — это метод создания строк и шаблонов внутри команд и скриптов более трудными для распознавания сигнатур и анализа. Этот тип обфускации может быть включен в команды, выполняемые доставленными полезными нагрузками (например, фишинг и компрометация через подставной сайт) или в интерактивном режиме через интерпретатор команд и сценариев. Например, злоумышленники могут злоупотреблять синтаксисом, который использует различные символы и escape-последовательности (такие как пробелы, `^`, `+`, `$` и `%`), чтобы сделать команды трудными для анализа, сохраняя при этом ту же предполагаемую функциональность. Многие языки поддерживают встроенную обфускацию в форме кодирования base64 или URL. Злоумышленники также могут вручную реализовать обфускацию команд через разделение строк (`"Wor"+"d.Application"`), порядок и регистр символов (`rev <<<'dwssap/cte/ tac'`), глоббинг (`mkdir -p '/tmp/:&$NiA'`), а также различные трюки, включающие передачу строк через токены/переменные среды/входные потоки. Злоумышленники также могут использовать трюки, такие как обход каталогов, для обфускации ссылок на исполняемый файл, вызываемый командой (`C:\voi\pcw\..\..\Windows\tei\qs\k\..\..\..\system32\erool\..\wbem\wg\je\..\..\wmic.exe shadowcopy delete`). Инструменты, такие как Invoke-Obfuscation и Invoke-DOSfucation, также использовались для обфускации команд.