SIP和信任提供者劫持 在用户模式下,Windows Authenticode 数字签名用于验证文件的来源和完整性,这些变量可用于建立对签名代码的信任(例如:可以将具有有效Microsoft签名的驱动...
04月15日ATTACK2 views评论microsoft
注册表
ATT&CK -
04月15日ATTACK2 views评论microsoft
注册表
04月15日ATTACK2 views评论microsoft
注册表
ATT&CK -
注册表 Run 键/Startup 文件夹 在注册表"run 键"或"Startup "文件夹中的中添加条目,在用户登录时将执行该条目引用的程序。这些程序将在用户的上下文中执行,并具有帐户的相关权限级...
04月15日ATTACK3 views评论microsoft
注册表
ATT&CK - 冗余访问
冗余访问 攻击者可以使用多个具有不同命令与控制协议的远程访问工具来规避检测。 如果一种类型的工具被检测到并被屏蔽或删除,而组织没有完全了解攻击者的工具和访问权限,那么攻击者将能够维持对网络的访问权限。...
04月15日ATTACK2 views评论恶意软件
访问权限
ATT&CK - 混淆的文件或信息
混淆的文件或信息 攻击者可能尝试通过在系统上或传输中加密,编码或以其他方式混淆其内容来使得可执行文件或文件难以发现或分析。这是常见的用于规避防御的行为,可以在不同平台和网络中使用。 攻击者可以压缩,存...
04月15日ATTACK3 views评论payload
有效载荷
ATT&CK - 重启应用程序
重启应用程序 从 Mac OS X 10.7 (Lion) 开始,用户可以指定在重启机器时要重新打开的应用程序。 虽然这通常是通过基于每个应用程序的图形用户界面(GUI)完成的,但是属性列表文件 (p...
04月15日ATTACK4 views评论library
reference
ATT&CK - 网络共享连接移除
网络共享连接移除 当不再需要时,可以删除 Windows 共享驱动器和 Windows 管理共享连接。 Net 是示例实用程序,可以用于通过 net use \system\share /delete...
04月15日ATTACK2 views评论smb
最佳实践
ATT&CK -
Rc.common 在启动过程中,macOS 执行 source /etc/rc.common,该 shell 脚本包含了各种实用程序函数。 该文件还定义了用于处理命令行参数和收集系统设置的例程,因此...
04月15日ATTACK4 views评论macos
ATT&CK -
NTFS 文件属性 每个 New Technology File System(NTFS) 格式化的分区都包含一个主文件表 (MFT),它为分区上的每个文件/目录维护一条记录。在 MFT 条目中有文件...
04月15日ATTACK1 views评论ntfs
恶意软件
ATT&CK - 修改注册表
修改注册表 攻击者可以与 Windows 注册表交互以隐藏注册表项中的配置信息,删除信息作为清理的一部分,或者作为其他技术的一部分,帮助实现持久化和执行。 对注册中心特定区域的访问取决于帐户权限,有些...
04月15日ATTACK3 views评论修改注册表
注册表
ATT&CK - 伪装
伪装 伪装是指攻击者为了规避防御和观察而篡改或滥用可执行文件(合法或恶意)的名称或位置。目前已经发现该技术的几种不同变体。 一种变体是将可执行文件放在一般可信目录中,或将其命名为合法可信程序的名称。另...
04月15日ATTACK1 views评论二进制文件
可执行文件
ATT&CK -
Office 应用程序启动 Microsoft Office 是企业网络中基于 Windows 操作系统的相当常见的应用程序套件。 在基于 Office 的应用程序启动阶段,可以利用 Office 的...
04月15日ATTACK3 views评论excel
microsoft
ATT&CK -
LC_MAIN劫持 从OS X 10.8开始,mach-O二进制文件引入了一个名为LC_MAIN的新头文件,该头文件指向二进制文件的执行入口。以前,有两个标头可实现相同的效果:LC_THREAD和LC...
04月15日ATTACK1 views评论二进制文件
白名单
275