ATT&CK - 软件披露

软件披露 攻击者可能会尝试获取系统上安装的与安全无关的软件的列表。攻击者可以在自动发现过程中使用来自 软件披露 (T1518)的信息来塑造后续行为,包括攻击者是否完全感染目标和或尝试采取特定行动。 A...
admin 04月15日ATTACK14 views评论gather orz
阅读全文

ATT&CK -

Setuid与Setgid 在Linux或macOS上为应用程序设置setuid或setgid位时,这意味着该应用程序将分别以拥有用户或组的特权运行 。通常,应用程序是在当前用户的上下文中运行的,而不...
admin 04月15日ATTACK9 views评论bits chmod
阅读全文

ATT&CK - 内核模块和扩展

内核模块和扩展 可加载内核模块 (LKMs) 是可以根据需要加载和卸载到内核中的代码片段。 它们不需要重启系统即可扩展内核的功能。 例如,设备驱动程序是一类模块,它使内核可以访问连接到系统的硬件。 恶...
admin 04月15日ATTACK13 views评论rootkit 内核模块
阅读全文

ATT&CK - 域生成算法

域生成算法 攻击者可以利用域生成算法(DGA)来动态标识命令和控制流量的目的地,而不是依赖于静态IP地址或域的列表。这样做的好处是,防御者很难阻止,跟踪或接管命令和控制通道,因为恶意软件可能会检查成千...
admin 04月15日ATTACK14 views评论malware 恶意软件
阅读全文

ATT&CK - 绕过虚拟化/沙盒

绕过虚拟化/沙盒 攻击者可能会检查是否存在虚拟机环境(VME)或沙箱,以避免潜在地检测到工具和活动。如果对手检测到VME,他们可能会更改其恶意软件以隐藏植入物的核心功能或与受害者分离。他们还可能在丢弃...
admin 04月15日ATTACK42 views评论ment 虚拟化
阅读全文

ATT&CK -

Gatekeeper 绕过 在macOS和OS X中,从Internet下载应用程序或程序时,在名为的文件上设置了特殊属性com.apple.quarantine。苹果的Gatekeeper防御程序会...
admin 04月15日ATTACK9 views评论macos quarantine
阅读全文

ATT&CK - 服务执行

服务执行 攻击者可以通过与 Windows 服务交互的方法(例如服务控制管理器)执行二进制文件,命令或脚本。这可以通过创建新服务或修改现有服务来完成。此技术是在服务持久化或权限提升期间结合创建新服务和...
admin 04月15日ATTACK11 views评论二进制文件 持久化
阅读全文

ATT&CK -

Web 服务 攻击者可以使用现有的合法外部 Web 服务将命令转发到受攻击系统。 这些命令还可以包括指向命令与控制 (C2) 基础结构的指针。攻击者可能会在带有嵌入式(通常是混淆/编码的)域名或 IP...
admin 04月15日ATTACK11 views评论恶意软件
阅读全文