ATTACK - 第 27 | CN-SEC 中文网

ATT&CK - 安装根证书

安装根证书根证书在公钥加密中用于标识根证书颁发机构 (CA)。安装根证书后，系统或应用程序将信任由根证书签名的根信任链中的证书。证书通常用于在 Web 浏览器中建立安全的 TLS / SSL 通...

04月15日ATTACK20 views评论

阅读全文

ATT&CK -

Emond 攻击者可以使用事件监视器守护程序（emond）通过安排恶意命令在可预测的事件触发器上运行来建立持久性。Emond是一个启动守护程序(T1160)，它接受来自各种服务的事件，通过简单的规则引...

04月15日ATTACK10 views评论

阅读全文

ATT&CK - 修改现有服务

修改现有服务 Windows 服务配置信息（包括服务的可执行文件或恢复程序/命令的文件路径）存储在注册表中。可以使用 sc.exe 和 Reg 等工具修改服务配置。攻击者可以使用系统或自定义工具与 ...

04月15日ATTACK11 views评论

阅读全文

ATT&CK - 间接命令执行

间接命令执行可以使用各种 Windows 实用程序执行命令而不需要调用 cmd。例如，Forfiles、程序兼容性助手、适用于 Linux 的 Windows 子系统 (WSL) 的组件以及其他实...

04月15日ATTACK18 views评论

阅读全文

ATT&CK -

Elevated Execution with Prompt 攻击者可以通过提示用户输入凭据来利用AuthorizationExecuteWithPrivileges API升级特权。此API的目的是...

04月15日ATTACK10 views评论

阅读全文

ATT&CK -

Windows 管理规范 Windows 管理规范 (WMI) 是 Windows 管理的一个功能，它为本地和远程访问 Windows 系统组件提供了统一的环境。它依赖于本地和远程访问的 WMI 服务...

04月15日ATTACK15 views评论

阅读全文

ATT&CK - 删除主机上的指示器

删除主机上的指示器攻击者可能会删除或更改主机系统上生成的工件，包括日志和可能被捕获的文件，如隔离的恶意软件。日志的位置和格式会有所不同，但典型的有机系统日志会作为 Windows 事件或 Linu...

04月15日ATTACK9 views评论

阅读全文

ATT&CK -

PowerShell配置文件在某些情况下，攻击者可以通过滥用PowerShell(T1086)配置文件来获得持久性和提升特权。PowerShell配置文件（profile.ps1）是一个在Power...

04月15日ATTACK7 views评论

阅读全文

ATT&CK - 登录项目

登录项目 MacOS提供了列出用户登录时要运行的特定应用程序的选项。这些应用程序在登录用户的上下文中运行，并且将在用户每次登录时启动。使用“服务管理框架”安装的登录项在菜单中不可见。系统偏好设置，只能...

04月15日ATTACK11 views评论

阅读全文

ATT&CK - 用户执行

用户执行攻击者可以依靠用户的特定操作来获得执行。这可以是直接代码执行，例如当用户打开鱼叉式钓鱼附件 (Spearphishing Attachment) 传递的恶意可执行文件时，该文件带有图标和文...

04月15日ATTACK8 views评论

阅读全文

ATT&CK - 删除工具中的指示器

删除工具中的指示器如果恶意工具被检测到并隔离或以其他方式限制，攻击者或许可以确定恶意工具被检测到的原因（指示器）, 攻击者通过删除指示器来修改工具，并使用更新后的版本，该版本不再被当前目标或随后的可...

04月15日ATTACK20 views评论

阅读全文

ATT&CK -

PPID欺骗对手可能会欺骗新进程的父进程标识符（PPID），以逃避进程监视防御或提升特权。除非明确指定，否则通常直接从其父进程或调用进程中产生新进程。显式分配新进程的PPID的一种方法是通过Crea...

04月15日ATTACK11 views评论

阅读全文

ATT&CK - 安装根证书

ATT&CK -

ATT&CK - 修改现有服务

ATT&CK - 间接命令执行

ATT&CK -

ATT&CK -

ATT&CK - 删除主机上的指示器

ATT&CK -

ATT&CK - 登录项目

ATT&CK - 用户执行

ATT&CK - 删除工具中的指示器

ATT&CK -

在线咨询

微信