图形用户界面
图形用户界面 (GUI) 是与操作系统交互的常见方式。攻击者可以在操作期间通常通过远程交互式会话(如远程桌面协议)使用系统的 GUI,而不是通过命令行界面,通过鼠标双击,Windows
的 Run 命令,或其他可能难以监控交互的方式来搜索信息和执行文件。
缓解
防止攻击者通过凭据访问(Credential Access)获取可用于登录到系统上的远程桌面会话的访问。
识别可能用于登录远程交互会话的不必要的系统实用程序、第三方工具或潜在的恶意软件,并在适当的情况下使用白名单工具(如 AppLocker 和软件限制策略 ) 审计和/或拦截它们。
检测
通过 GUI 检测执行可能会导致严重的误报。应考虑其他因素来检测可能导致攻击者通过交互式远程会话获得对系统的访问的服务滥用。
通过远程交互会话在特定系统上的正常行为外启动未知或异常的进程是可疑的。收集和审核可能表明访问和使用合法凭据以访问网络中的远程系统的安全日志,
- 译者: 林妙倩、戴亦仑 . source:cve.scap.org.cn
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论