系统关机/重启 攻击者可以关闭/重启系统,以中断对这些系统的访问或帮助破坏这些系统。操作系统可能包含用于启动计算机关闭/重新引导的命令。在某些情况下,这些命令还可用于启动远程计算机的关闭/重新启动。关...
04月15日ATTACK2 views评论mbr
shutdown
ATT&CK - 系统关机/重启
04月15日ATTACK2 views评论mbr
shutdown
04月15日ATTACK2 views评论mbr
shutdown
ATT&CK - 远程访问工具
远程访问工具 攻击者可以使用合法的桌面支持和远程访问软件,如 Team Viewer、Go2Assist、LogMein、AmmyyAdmin 等,建立与网络内目标系统交互的命令与控制信道。 这些服务...
04月15日ATTACK1 views评论白名单
防火墙
ATT&CK - 第三方软件
第三方软件 在网络环境中可以使用第三方应用程序和软件部署系统来管理(例如,SCCM、VNC、HBSS、Altiris 等)。如果攻击者获得对这些系统的访问权,那么他们可能能够执行代码。 攻击者可以访问...
04月15日ATTACK3 views评论帐户
系统
ATT&CK - 系统信息披露
系统信息披露 攻击者可能会尝试获取有关操作系统和硬件的详细信息,包括版本,补丁,热修复(hotfixes),服务包和体系结构。 Windows 获取此信息的示例命令和实用程序包括 cmd 中的 ver...
04月15日ATTACK1 views评论系统信息披露
ATT&CK - 解混淆/解码文件或信息
解混淆/解码文件或信息 攻击者可能会混淆文件或信息来隐藏入侵的工件以避免检测。 他们可能需要单独的机制来对信息解码或解混淆,这取决于打算使用的方式 实现此目的的方法包括恶意软件的内置功能、脚本、Pow...
04月15日ATTACK2 views评论payload
恶意软件
ATT&CK - 新建服务
新建服务 当操作系统启动时,它们会启动称为服务的程序或软件,这些程序和软件执行后台系统功能。服务的配置信息,包括服务的可执行文件路径,都存储在 Windows 注册表中。 攻击者可以安装新的服务,通过...
04月15日ATTACK1 views评论实用程序
注册表
ATT&CK -
Mshta Mshta.exe 是一个执行 Microsoft HTML 应用程序 (HTA) 的实用程序。 HTA 文件的扩展名是 .hta。 HTAs 是独立的应用程序,使用与 Internet ...
04月15日ATTACK3 views评论hta
internet
ATT&CK - 存储数据操作
存储数据操作 对手可能会插入,删除或操纵静态数据,以便操纵外部结果或隐藏活动。通过操纵存储的数据,对手可能会尝试影响业务流程,组织理解和决策。 存储的数据可以包括多种文件格式,例如Office文件,数...
04月15日ATTACK3 views评论ulate
存储数据操作
ATT&CK - 端口试探
端口试探 端口试探是一种较为成熟的技术,目的是隐藏开放的端口以控制访问,攻击者和防御者均可使用。 为了启用端口,攻击者需发送一系列具有特定特征的数据包。 通常,这些数据包包含关闭端口预定义的尝试序列(...
04月15日ATTACK0 views评论防火墙
ATT&CK - 污染共享内容
污染共享内容 存储在网络驱动器或其他共享位置上的内容可能被污染,通过添加恶意程序、脚本或漏洞利用代码到其他有效文件中。 一旦用户打开受污染的共享内容,就会执行恶意部分内容,从而在远程系统上运行攻击者的...
04月15日ATTACK3 views评论恶意软件
横向移动
ATT&CK - 安全软件披露
安全软件披露 攻击者可能试图获取系统安装的安全软件、配置、防御工具和传感器的列表。这可能包括本地防火墙规则、反病毒和虚拟化。这些检查可以内置到早期远程访问工具中。 Windows 可以用来获取安全软件...
04月15日ATTACK2 views评论安全软件
恶意软件
ATT&CK -
LLMNR/NBT-NS 中毒 链路本地多播名称解析 (LLMNR) 和 NetBIOS 名称服务 (NBT-NS) 是 Microsoft Windows 组件,可作为主机识别的备用方法。LLMNR...
04月15日ATTACK2 views评论netbios
流量
271