间接命令执行

对手可能会滥用允许命令执行的实用程序，以绕过限制使用命令行解释器的安全限制。各种Windows实用程序可能用于执行命令，可能不调用cmd。例如，Forfiles、程序兼容性助手（pcalua.exe）、Windows子系统Linux（WSL）组件、Scriptrunner.exe以及其他实用程序可能会调用程序和命令的执行，来自命令和脚本解释器、运行窗口或通过脚本。(引用: VectorSec ForFiles Aug 2017)(引用: Evi1cg Forfiles Nov 2017)(引用: Secure Team - Scriptrunner.exe)(引用: SS64)(引用: Bleeping Computer - Scriptrunner.exe) 对手可能会滥用这些功能进行防御规避，特别是执行任意命令，同时规避检测和/或缓解控制（如组策略）限制/防止使用cmd或更常与恶意有效负载相关的文件扩展名。