禁用安全工具 攻击者禁用安全工具,以避免他们的工具和活动被检测到。可以采取以下形式:终止安全软件或事件日志记录流程、删除注册表项以便工具不会在运行时启动,或者使用其他方法干扰安全扫描或事件报告。 缓解...
ATT&CK - 路径劫持
路径劫持 路径劫持发生在可执行文件被放在特定路径中,文件由某一应用程序执行而不是预定目标执行时。其中一个例子是在一个有漏洞的应用程序的当前工作目录中使用 cmd 副本,该应用程序使用 CreatePr...
ATT&CK -
PowerShell PowerShell 是 Windows 操作系统中一个强大的交互式命令行界面和脚本环境。 攻击者可以使用 PowerShell 执行许多操作,包括披露信息和执行代码。示例包括可...
ATT&CK - 系统关机/重启
系统关机/重启 攻击者可以关闭/重启系统,以中断对这些系统的访问或帮助破坏这些系统。操作系统可能包含用于启动计算机关闭/重新引导的命令。在某些情况下,这些命令还可用于启动远程计算机的关闭/重新启动。关...
ATT&CK - 远程访问工具
远程访问工具 攻击者可以使用合法的桌面支持和远程访问软件,如 Team Viewer、Go2Assist、LogMein、AmmyyAdmin 等,建立与网络内目标系统交互的命令与控制信道。 这些服务...
ATT&CK - 第三方软件
第三方软件 在网络环境中可以使用第三方应用程序和软件部署系统来管理(例如,SCCM、VNC、HBSS、Altiris 等)。如果攻击者获得对这些系统的访问权,那么他们可能能够执行代码。 攻击者可以访问...
ATT&CK - 系统信息披露
系统信息披露 攻击者可能会尝试获取有关操作系统和硬件的详细信息,包括版本,补丁,热修复(hotfixes),服务包和体系结构。 Windows 获取此信息的示例命令和实用程序包括 cmd 中的 ver...
ATT&CK - 解混淆/解码文件或信息
解混淆/解码文件或信息 攻击者可能会混淆文件或信息来隐藏入侵的工件以避免检测。 他们可能需要单独的机制来对信息解码或解混淆,这取决于打算使用的方式 实现此目的的方法包括恶意软件的内置功能、脚本、Pow...
ATT&CK - 新建服务
新建服务 当操作系统启动时,它们会启动称为服务的程序或软件,这些程序和软件执行后台系统功能。服务的配置信息,包括服务的可执行文件路径,都存储在 Windows 注册表中。 攻击者可以安装新的服务,通过...
ATT&CK -
Mshta Mshta.exe 是一个执行 Microsoft HTML 应用程序 (HTA) 的实用程序。 HTA 文件的扩展名是 .hta。 HTAs 是独立的应用程序,使用与 Internet ...
ATT&CK - 存储数据操作
存储数据操作 对手可能会插入,删除或操纵静态数据,以便操纵外部结果或隐藏活动。通过操纵存储的数据,对手可能会尝试影响业务流程,组织理解和决策。 存储的数据可以包括多种文件格式,例如Office文件,数...
ATT&CK - 端口试探
端口试探 端口试探是一种较为成熟的技术,目的是隐藏开放的端口以控制访问,攻击者和防御者均可使用。 为了启用端口,攻击者需发送一系列具有特定特征的数据包。 通常,这些数据包包含关闭端口预定义的尝试序列(...
42