ESCU Alert - CMD Launching Scripts Analysis

چرا این هشدار صادر می‌شود؟

این قانون به دنبال شناسایی رفتاری است که در آن پردازش cmd.exe به عنوان یک "سکوی پرتاب" (Launcher) برای اجرای مفسرهای اسکریپت مانند cscript.exe یا wscript.exe عمل می‌کند. در حالت عادی، ادمین‌ها مستقیماً از خود مفسر استفاده می‌کنند و نیازی به فراخوانی آن از داخل CMD ندارند.

Parent Process: cmd.exe
Child Process: cscript.exe | wscript.exe
Technique: Living off the Land (LoL) / Evasion

مهاجمان از این روش برای "شکستن زنجیره والد" (Parent Process Chain Breaking) و پنهان کردن منبع اصلی حمله استفاده می‌کنند.

دسته‌بندی سناریوهای مشکوک

سناریوهای پرخطر (High Risk)

اجرای اسکریپت‌های VBS/JS: فراخوانی cscript.exe یا wscript.exe توسط CMD برای اجرای فایل‌های اسکریپت از مسیرهای موقت (Temp/Downloads).
والدِ والد (Grandparent) مشکوک: اگر والدِ cmd.exe یک مرورگر (Chrome) یا آفیس (Word/Excel) باشد، نشان‌دهنده قطعی حمله Drive-by یا Macro Malware است.
دانلود بدافزار: استفاده از اسکریپت‌ها برای دانلود فایل Payload از اینترنت.

سناریوهای متوسط (Medium Risk)

حرکت جانبی (Lateral Movement): ابزارهای نفوذ مثل PsExec یا سرویس‌های راه دور که دستورات را از طریق cmd.exe /c روی سیستم هدف تزریق می‌کنند.
مبهم‌سازی (Obfuscation): استفاده بیش از حد از متغیرهای محیطی (%comspec%) یا کاراکترهای خاص (`^`) برای فریب آنتی‌ویروس.

سناریوهای کم‌خطر (Low Risk / False Positive)

اسکریپت‌های لاگین (Logon Scripts): فایل‌های قدیمی .bat در شبکه دامین که برای تنظیم پرینترها یا درایوها، اسکریپت‌های VBS را صدا می‌زنند.
نرم‌افزارهای نصب (Installers): برخی برنامه‌های ستاپ قدیمی از CMD برای راه‌اندازی بخش‌های مختلف نصب استفاده می‌کنند.

ارزیابی خطر و تریاژ

نشانه قطعی خطر: اگر والدِ CMD یک برنامه غیرمنتظره مثل winword.exe، iexplore.exe یا outlook.exe باشد، سیستم آلوده شده است.

بررسی خط فرمان (CommandLine): آیا دستورات تلاش برای دانلود فایل (Download) یا دیکد کردن (Decode) چیزی دارند؟
موقعیت فایل: آیا اسکریپت اجرا شده در پوشه‌های سیستمی System32 است یا پوشه‌های کاربری مثل AppData/Local/Temp؟
حساب کاربری: آیا این دستور توسط یک سرویس سیستم (SYSTEM/Network Service) اجرا شده یا یک کاربر تعاملی؟

الزامات داده و مدل‌ها

اطلاعات مورد نیاز

Sysmon Event ID 1 (Process)
Windows Security 4688

دیتامدل‌های مورد استفاده

Endpoint.Processes

فیلدهای کلیدی جهت بررسی

برای شکار تهدیدات در Splunk یا EDR، این فیلدها را فیلتر و بررسی کنید:

parent_process_name (cmd.exe)

process_name (cscript, wscript)

CommandLine

ParentCommandLine

user

parent_process_id