T1216 · Проксирование выполнения с помощью системных скриптов

T1216Enterprise

Матрица: Enterprise

Статус: Активная

STIX: 19.0

Проксирование выполнения с помощью системных скриптов

Злоумышленники могут использовать доверенные скрипты, часто подписанные сертификатами, для проксирования выполнения вредоносных файлов. Несколько скриптов, подписанных Microsoft, которые были загружены с сайта Microsoft или являются стандартными в установках Windows, могут использоваться для проксирования выполнения других файлов. Это поведение может использоваться злоумышленниками для выполнения вредоносных файлов, которые могут обойти контроль приложений и проверку подписи в системах.

Тактики

Предотвращение обнаружения

Подтехники

T1216.001

PubPrn

T1216.002

SyncAppvPublishingServer

Платформы

Windows

Меры защиты

M1038

Предотвращение выполнения кода

Открыть в каталоге с фильтром ATT&CK →

Связанные CAPEC

—

Затронутые уязвимости (выводимые)

—

Открыть на attack.mitre.org ↗

Совпадений нет — уточните фильтр.