青藤细述ATT&CK框架：攻击者最常用的TOP7攻击技术及其检测策略(4)

安全工具和人工分析的快速发展让攻击者很难使用公开的攻击载荷或者直接从磁盘获取相关载荷。因此，攻击者需要找到替代方法来执行有效载荷并执行其他恶意活动，这是脚本相关技术日益流行的主要原因。此外，该技术利用的运行时环境、库和可执行文件是每个现代计算平台的核心组件，不能轻易禁用，并且没有始终对其进行密切监视。
在Windows上，Windows脚本宿主（WSH）最简单的检测用例是基于process ancestry的。这包括监视从shells命令（cmd.exe、powershell.exe）、Office应用程序、Web浏览器和Web服务处理程序中生成的wscript.exe或cscript.exe。还建议监视从非标准位置执行的脚本，例如用户可写路径，包括appdatalocal*、其他类似路径以及临时目录。
此外，监视进程元数据、进程命令行和文件修改都是非常重要的策略。检测与托管脚本相关的二进制文件的可疑模块加载（例如vbscript.dll）的检测系统也是值得采取的策略。
当然最彻底的办法就是禁用Windows脚本宿主，也可以强制对脚本进行签名，以确保仅执行批准的脚本。诸如AppLocker之类的工具还提供了与脚本执行相关的其他约束。这些是预防策略，但也可用于检测之用，因为尝试执行未经授权的脚本应产生更高质量的报警信号。
3. “命令行界面”也是黑客最爱
命令行界面提供了一种与计算机系统进行交互的方式，并且是许多类型的操作系统平台的共同功能。Windows系统上的令行界面是cmd，可用于执行许多任务，包括执行其他软件。命令行界面可以通过远程桌面应用程序、反弹Shell会话等在本地或远程进行交互。执行的命令以命令行界面进程的当前权限级别运行，除非该命令进行进程调用，更改执行权限（例如计划任务）。
命令行界面发展至今，已经有大量的成熟工具可以使用。此外，命令行界面是一个非常轻便的应用程序，打开时不会给硬件带来负担，因此打开起来更快。而且在基于GUI的应用程序上完成的所有任务，能够通过命令行界面更快地打开。
针对这类攻击，可以通过使用命令行参数正确记录进行执行情况来捕获命令行界面活动。通过深入了解攻击者时如何使用本地进程或自定义工具的，可以进一步了解攻击者的行为。这就需要做到以下两方面：（1）了解组织机构中应用程序的常见来源；（2）收集命令行和相关的检测数据.