Интерпретатор команд и сценариев

Оригинал: Command and Scripting Interpreter

Злоумышленники могут злоупотреблять командными и скриптовыми интерпретаторами для выполнения команд, сценариев или бинарных файлов. Эти интерфейсы и языки предоставляют способы взаимодействия с компьютерными системами и широко встречаются на разных платформах. Большинство систем имеют встроенный интерфейс командной строки и возможности выполнения сценариев: например, дистрибутивы macOS и Linux включают один из вариантов Unix Shell, а установки Windows — Windows Command Shell и PowerShell.

Существуют также кроссплатформенные интерпретаторы, например Python, а также интерпретаторы, обычно связанные с клиентскими приложениями, такие как JavaScript и Visual Basic.

Злоумышленники могут использовать эти технологии различными способами как средство выполнения произвольных команд. Команды и сценарии могут быть встроены в полезные нагрузки для первичного доступа, доставляемые жертвам в виде документов-приманок, или во вторичные полезные нагрузки, загружаемые из существующей C2-инфраструктуры. Злоумышленники также могут выполнять команды через интерактивные терминалы или оболочки, а также использовать различные удаленные сервисы для удаленного выполнения.

Тактики

Примеры процедур из кейсов

AML.CS0050Удаленное выполнение кода (RCE) в OpenClaw в один кликАктор: DepthFirst / Тактика: AML.TA0005 Выполнение

Вредоносный скрипт добивался удаленного выполнения кода, отправляя запрос `node.invoke` (RPC-механизм OpenClaw) к API OpenClaw.

AML.CS0052LLMSmith: уязвимости RCE в приложениях с интеграцией LLMАктор: Researchers at University of Chinese Academy of Sciences, Shandong University, and University of New South Wales / Тактика: AML.TA0005 Выполнение

Код из промптов исследователей выполнялся в изолированном Python-интерпретаторе.

AML.CS0060Межсайтовый скриптинг (XSS) через манипуляцию промптом в ИИ-чат-боте LenovoАктор: Cybernews Research Team / Тактика: AML.TA0005 Выполнение

Сохраненный HTML включал исполняемый в браузере JavaScript, который запускался в браузере сотрудника поддержки при отображении стенограммы.

AML.CS0061AI in the Middle: веб-сервисы ИИ как ретрансляторы C2Актор: Check Point Research / Тактика: AML.TA0005 Выполнение

ИИ-сервис кратко излагал ответ подконтрольного злоумышленнику сайта, а имплант выполнял извлеченные команды. В демонстрационном примере команда запускала Calculator с помощью `cmd.exe /c calc.exe`; реальный имплант мог бы выполнять другие команды, загружать полезные нагрузки, переходить в режим ожидания или собирать дополнительные данные.

AML.CS0062RCE-уязвимость в Semantic Kernel Search PluginАктор: Microsoft Defender Security Research Team / Тактика: AML.TA0005 Выполнение

Значение фильтра обрабатывалось как lambda-выражение Python. Из-за вредоносного форматирования в подконтрольном злоумышленнику аргументе эта обработка становилась приемником инъекции: ввод исследователей выходил за рамки предусмотренной логики сравнения и приводил к удаленному выполнению кода.