App 在设备启动时自启动 Android 应用程序可以监听 BOOT_COMPLETED 广播,确保每次设备启动时应用程序的功能都会被激活,而无需等待设备用户手动启动应用程序。 Zhou 和 Jia...
04月15日ATTACK1 views评论启动时
恶意软件
ATT&CK -
04月15日ATTACK1 views评论启动时
恶意软件
04月15日ATTACK1 views评论启动时
恶意软件
ATT&CK -
Timestomp Timestomp 是一种修改文件时间戳(修改,访问,创建和更改时间)的技术,通常用于模拟同一文件夹中的文件。该技术可以用在攻击者修改或创建的文件上,使得它们在取证调查人员或文件分...
04月15日ATTACK5 views评论timestomp
恶意软件
ATT&CK - 软件打包
软件打包 软件打包是一种压缩或加密可执行文件的方法。打包可执行文件会更改文件签名,以避免基于签名的检测。大多数解压缩技术将内存中的可执行代码解压缩。 用于执行软件打包的实用程序称为打包程序。例如 MP...
04月15日ATTACK5 views评论可执行文件
恶意软件
ATT&CK -
Rootkit Rootkit 是通过拦截(即 Hooking)和修改提供系统信息的操作系统 API 调用来隐藏恶意软件存在的程序。 Rootkit 或 rootkit 启用功能可以驻留在操作系统中的...
04月15日ATTACK3 views评论rootkit
恶意软件
ATT&CK - 冗余访问
冗余访问 攻击者可以使用多个具有不同命令与控制协议的远程访问工具来规避检测。 如果一种类型的工具被检测到并被屏蔽或删除,而组织没有完全了解攻击者的工具和访问权限,那么攻击者将能够维持对网络的访问权限。...
04月15日ATTACK1 views评论恶意软件
访问权限
ATT&CK -
NTFS 文件属性 每个 New Technology File System(NTFS) 格式化的分区都包含一个主文件表 (MFT),它为分区上的每个文件/目录维护一条记录。在 MFT 条目中有文件...
04月15日ATTACK1 views评论ntfs
恶意软件
ATT&CK - 安装根证书
安装根证书 根证书在公钥加密中用于标识根证书颁发机构 (CA)。 安装根证书后,系统或应用程序将信任由根证书签名的根信任链中的证书。 证书通常用于在 Web 浏览器中建立安全的 TLS / SSL 通...
04月15日ATTACK3 views评论microsoft
恶意软件
ATT&CK - 删除工具中的指示器
删除工具中的指示器 如果恶意工具被检测到并隔离或以其他方式限制,攻击者或许可以确定恶意工具被检测到的原因(指示器), 攻击者通过删除指示器来修改工具,并使用更新后的版本,该版本不再被当前目标或随后的可...
04月15日ATTACK3 views评论恶意软件
文件签名
ATT&CK -
Sudo 缓存 sudo 命令“使得系统管理员可以授权特定用户或用户组作为 root 或他用户执行某些(或所有)命令,同时还能够对命令及其参数进行审核跟踪”。 sudo 是为系统管理员创建的,因此具有...
04月15日ATTACK3 views评论timeout
恶意软件
ATT&CK - 域生成算法
域生成算法 攻击者可以利用域生成算法(DGA)来动态标识命令和控制流量的目的地,而不是依赖于静态IP地址或域的列表。这样做的好处是,防御者很难阻止,跟踪或接管命令和控制通道,因为恶意软件可能会检查成千...
04月15日ATTACK2 views评论malware
恶意软件
ATT&CK -
Web 服务 攻击者可以使用现有的合法外部 Web 服务将命令转发到受攻击系统。 这些命令还可以包括指向命令与控制 (C2) 基础结构的指针。攻击者可能会在带有嵌入式(通常是混淆/编码的)域名或 IP...
04月15日ATTACK2 views评论恶意软件
ATT&CK - 不常用端口
不常用端口 攻击者可以通过非标准端口进行 C2 通信,以绕过未正确配置的代理和防火墙。 缓解 正确配置防火墙和代理,以将出口流量限制为仅需要的端口。 使用网络签名来识别特定恶意软件的流量的网络入侵检测...
04月15日ATTACK4 views评论恶意软件
防火墙
240