Picus Security: Kommandozeilenschnittstelle unter den 5 häufigsten Angriffstechniken

Picus Securitys Forschung hat die Kommandozeilenschnittstelle (Command Line Interface, CLI) als die fünfthäufigste MITRE ATT&CK-Technik identifiziert, die in Malware eingesetzt wird. Diese Erkenntnis basiert auf einer umfassenden Analyse von fast 50.000 Malware-Samples im Jahr 2019, bei der über 445.000 beobachtete Taktiken, Techniken und Prozeduren (TTPs) von Angreifern dem ATT&CK-Framework zugeordnet wurden.

Die Version 7 des MITRE ATT&CK-Frameworks hat die Techniken Kommandozeilenschnittstelle und Skripting zu einer einzigen Technik zusammengefasst: "Command and Scripting Interpreter" (T1059), was ihre Bedeutung unterstreicht. Bedrohungsakteure nutzen häufig die integrierten Kommandozeilen von Betriebssystemen für ihre Operationen, da diese oft weniger auffällig sind als Anwendungen von Drittanbietern.

CLI-Techniken gelten als entscheidend für die Ausführung, da sie es Angreifern ermöglichen, kontrollierten Code auszuführen und mit lokalen oder entfernten Systemen zu interagieren. Diese Techniken werden häufig mit anderen Taktiken kombiniert, wie z. B. lateraler Bewegung und Datenexfiltration, um umfassendere Angriffsziele zu erreichen.

Die Analyse detaillierte auch Untertechniken innerhalb von Command and Scripting Interpreter, einschließlich PowerShell (T1059.001), AppleScript (T1059.002) und Windows Command Shell (T1059.003). Insbesondere PowerShell wurde für seine umfassenden Fähigkeiten hervorgehoben, was es zu einem bevorzugten Werkzeug sowohl für Administratoren als auch für böswillige Akteure macht.

Picus Security bietet Einblicke und potenzielle Testmethoden, um Organisationen dabei zu unterstützen, diese verbreiteten Angriffstechniken zu erkennen und sich dagegen zu verteidigen, wodurch die allgemeine Cybersicherheitslage verbessert wird.