ATT&CK - 禁止系统恢复

禁止系统恢复 攻击者可能会删除或删除内置的操作系统数据,并关闭旨在帮助恢复已损坏系统以防止恢复的服务。操作系统可能包含有助于修复损坏的系统的功能,例如备份目录,卷影副本和自动修复功能。攻击者可能会禁用...
admin 04月15日ATTACK1 views评论recovery vss
阅读全文

ATT&CK - 备用信道

备用信道 如果首选信道被攻击或无法访问,攻击者可以使用备用通信信道,以便维持可靠的命令与控制并避免数据传输受限。 缓解 使用网络签名来识别特定恶意软件的流量的网络入侵检测和防御系统可减少网络级活动。 ...
admin 04月15日ATTACK1 views评论恶意软件 无法访问
阅读全文

ATT&CK - 计划传输

计划传输 数据渗漏可以仅在一天的特定时间或以特定间隔进行。这样可以将流量模式与正常活动或使用混合。 当有计划地进行数据渗漏时,通常也会使用其他渗漏技术来将信息传出网络,例如命令与控制信道上的数据渗漏和...
admin 04月15日ATTACK2 views评论命令与控制 恶意软件
阅读全文

ATT&CK - 远程文件复制

远程文件复制 攻击者在操作过程中,可以将文件从一个系统复制到另一个系统以暂存攻击者的工具或其他文件。 可以通过命令与控制信道从外部攻击者控制系统复制文件,从而将工具放入受害者网络,或通过与 FTP 等...
admin 04月15日ATTACK2 views评论smb 恶意软件
阅读全文

ATT&CK - 外围设备披露

外围设备披露 攻击者可能试图收集有关连接到计算机系统的附加外围设备和组件的信息。 这些信息可以提高他们对系统和网络环境的认识,也有助于攻击者进一步的行动。 缓解 识别可能用于获取外围设备信息的不必要的...
admin 04月15日ATTACK2 views评论恶意软件 网络环境
阅读全文

ATT&CK -

Hook Windows 进程通常利用应用程序编程接口(API)函数来执行需要可重用系统资源的任务。Windows API 函数通常作为导出函数存储在动态链接库(DLL)中。Hook 涉及将调用重定向...
admin 04月15日ATTACK2 views评论iat 重定向
阅读全文

ATT&CK - 组件固件

组件固件 攻击者可以使用多个具有不同命令与控制协议的远程访问工具来规避检测。 如果一种类型的工具被检测到并被屏蔽或删除,而组织没有完全了解攻击者的工具和访问权限,那么攻击者将能够维持对网络的访问权限。...
admin 04月15日ATTACK2 views评论访问权限 远程访问工具
阅读全文

ATT&CK - 利用特权提升

利用特权提升 软件漏洞利用指的是攻击者利用程序,服务或操作系统软件或内核本身中的编程错误来执行攻击者控制的代码。诸如权限级别之类的安全结构通常会阻碍攻击者对信息的访问和某些技术的使用,因此可能需要特权...
admin 04月15日ATTACK1 views评论漏洞利用 特权提升
阅读全文

ATT&CK -

Bootkit bootkit 是一种恶意软件变体,它修改硬盘驱动器的引导扇区,包括主引导记录 (MBR) 和卷引导记录 (VBR)。 攻击者可以使用 bootkits 在操作系统下面的层上的系统上持...
admin 04月15日ATTACK1 views评论mbr 访问权限
阅读全文

ATT&CK - 利用客户端执行

利用客户端执行 软件可能因为不安全的编码实践而出现漏洞,从而导致非预期行为。 攻击者可以通过有针对性的利用某些漏洞来达到任意代码执行的目的。 通常,对于攻击工具最有价值的 exploit 是那些可用于...
admin 04月15日ATTACK1 views评论exploit 漏洞利用
阅读全文

ATT&CK - 可信关系

可信关系 攻击者可能会破坏或利用能够接触到目标受害者的组织。 通过可信的第三方关系利用现有的连接,这些连接可能不受保护或者受到的审查比获取网络访问权的标准机制少。 组织通常授予第二或第三方外部提供商高...
admin 04月15日ATTACK1 views评论基础设施 访问权限
阅读全文