JavaScript

对手可能会滥用各种 JavaScript 实现来执行。JavaScript (JS) 是一种平台无关的脚本语言（在运行时即时编译），通常与网页中的脚本相关，但 JS 也可以在浏览器外的运行时环境中执行。(引用: NodeJS) JScript 是相同脚本标准的 Microsoft 实现。JScript 通过 Windows 脚本引擎解释，因此与 Windows 的许多组件集成，如 Component Object Model 和 Internet Explorer HTML 应用程序 (HTA) 页面。(引用: JScrip May 2018)(引用: Microsoft JScript 2007)(引用: Microsoft Windows Scripts) JavaScript for Automation (JXA) 是基于 JavaScript 的 macOS 脚本语言，是 Apple 的开放脚本架构 (OSA) 的一部分，在 OSX 10.10 中引入。Apple 的 OSA 提供了控制应用程序、与操作系统接口以及访问 Apple 内部 API 的脚本功能。从 OSX 10.10 开始，OSA 仅支持两种语言，JXA 和 AppleScript。脚本可以通过命令行实用程序 osascript 执行，可以通过 osacompile 编译成应用程序或脚本文件，并且可以通过 OSAKit 框架在其他程序的内存中编译和执行。(引用: Apple About Mac Scripting 2016)(引用: SpecterOps JXA 2020)(引用: SentinelOne macOS Red Team)(引用: Red Canary Silver Sparrow Feb2021)(引用: MDSec macOS JXA and VSCode) 对手可能会滥用各种 JavaScript 实现来执行各种行为。常见的用途包括在网站上托管恶意脚本作为 Drive-by Compromise 的一部分，或下载并执行这些脚本文件作为二级有效负载。由于这些有效负载是基于文本的，对手也很常见地将其内容混淆作为 Obfuscated Files or Information 的一部分。