青藤细述ATT&CK框架：攻击者最常用的TOP7攻击技术及其检测策略(3)

下表展示了这七项技术在Red Canary 和Mitre ATT&CK Top 20攻击技术中的排名次序和出现次数。

希望读者能够通过上表中的数据，进一步了解攻击者对这七种技术的使用频率和在攻击者中的流行程度。下面，我们详细分析这七种技术。
攻击者最常用的TOP7攻击技术
1. “Powershell”备受攻击者青睐
PowerShell是Windows操作系统中包含的功能强大的交互式命令行界面和脚本环境。攻击者可以使用PowerShell执行许多操作，包括发现信息和执行代码，例如，用于运行可执行文件的Start-Process cmdlet和在本地或在远程计算机上运行命令的Invoke-Command cmdlet。
默认情况下，PowerShell基本上已包含在每个Windows操作系统中，提供了对Windows API的完全访问权限，包括数百个供开发人员和系统管理员使用的功能，但同样也遭到攻击者的大肆利用。像许多核心平台实用程序一样，PowerShell库很容易获得，因此也很容易实现，能够暴露任意进程中的完整PowerShell功能。
那么该如何进行检测呢？进程监控是最普遍有效的技术。进程监控可以让防御者确定在其环境中使用PowerShell的基准。进程命令行监控则更有效，可以洞悉哪些PowerShell实例试图通过编码命令传递有效负载并以其他方式混淆其最初意图。除了PowerShell脚本的默认主机之外，脚本还可以在加载PowerShell框架库的其他进程中执行。要查看该行为，观察模块负载以及进行分析以提供其他上下文，从而为检测提供支持。
2. “脚本执行”不容忽视
攻击者可能会使用脚本来帮助进行操作并执行其他本来应该是手动进行的多项操作。脚本执行对于加快操作任务，减少访问关键资源所需的时间很有用。通过直接在API级别与操作系统交互，而无需调用其他程序，某些脚本语言可以用于绕过过程监视机制。Windows的常用脚本语言包括VBScript和PowerShell，但也可以采用命令行批处理脚本的形式。