Picus Security: Komentorivikäyttö yleisin hyökkäysmenetelmä

Picus Securityn tutkimus on tunnistanut komentorivikäytön (Command Line Interface, CLI) viidenneksi yleisimmäksi MITRE ATT&CK -viitekehyksen mukaiseksi hyökkäysmenetelmäksi haittaohjelmistoissa. Vuonna 2019 analysoitiin lähes 50 000 haittaohjelmaa, ja niiden yhteydessä havaittiin yli 445 000 hyökkäysmenetelmää (TTP), jotka kartoitettiin ATT&CK-viitekehykseen.

Uudessa MITRE ATT&CK v7 -versiossa komentorivikäyttö ja skriptaus on yhdistetty yhden tekniikan, "Command and Scripting Interpreter" (T1059), alle. Tämä kehitys korostaa komentorivien merkitystä hyökkäysketjuissa. Hyökkääjät käyttävät yleisesti käyttöjärjestelmien sisäänrakennettuja komentorivejä, koska ne ovat vaikeammin havaittavissa kuin kolmannen osapuolen ohjelmistot.

Picus Securityn mukaan komentorivien käyttö on kriittinen osa hyökkäystä, sillä niiden avulla voidaan suorittaa hyökkääjän hallitsemaa koodia ja suorittaa muita komentoja paikallisesti tai etänä. Tämä tekniikka yhdistetään usein muihin taktiikoihin, kuten sivuttaisliikkumiseen ja tietojen poistoon.

Tutkimuksessa käsiteltiin myös komentorivin alitekniikoita, kuten PowerShell (T1059.001), AppleScript (T1059.002) ja Windows Command Shell (T1059.003). Erityisesti PowerShellin todettiin olevan tehokas työkalu, jota sekä järjestelmänvalvojat että hyökkääjät hyödyntävät laajasti sen monipuolisuuden vuoksi.

Picus Security tarjoaa myös työkaluja ja testausta näiden ja muiden ATT&CK-tekniikoiden havaitsemiseksi ja torjumiseksi yrityksissä, auttaen organisaatioita parantamaan kyberturvallisuuttaan.