Picus Security: Kommandotolk användes i femte mest frekventa attackmetoden

Enligt en analys av Picus Security är användning av kommandotolk (Command Line Interface, CLI) den femte mest frekventa tekniken som används av angripare i skadlig kod. Forskningen, baserad på analys av nära 50 000 malware-exempel under 2019, identifierade över 445 000 unika attacker-tekniker (TTP) som kartlades mot MITRE ATT&CK-ramverket.

Den senaste versionen, v7, av MITRE ATT&CK-ramverket har slagit samman kommandotolk och skriptning till en enda teknik kallad "Command and Scripting Interpreter" (T1059). Detta understryker vikten av kommandotolk som en exekveringsteknik. Angripare drar ofta nytta av operativsystemens inbyggda kommandotolkar, eftersom dessa är svårare att upptäcka än tredjepartsprogram.

Picus Security betonar att CLI-tekniker är avgörande för att exekvera skadlig kod på lokala eller fjärrsystem. De används ofta i kombination med andra taktiker, såsom lateral rörelse och dataexfiltrering, för att uppnå sina mål.

Analysen belyste även underspecialiseringar av kommandotolkar, inklusive PowerShell (T1059.001), AppleScript (T1059.002) och Windows Command Shell (T1059.003). PowerShell framhålls som ett särskilt kraftfullt verktyg, som både systemadministratörer och angripare använder flitigt.

Picus Security bidrar med insikter och potentiellt testlösningar för att hjälpa organisationer att identifiera och försvara sig mot dessa sofistikerade attackmetoder.