身份验证包 Windows 身份验证包 DLL 在系统启动时由本地安全机构(LSA)进程加载。 它们支持操作系统的多登录过程和多安全协议。 攻击者可以使用 LSA 身份验证包提供的自动启动机制来实现持...
04月15日ATTACK1 views评论lsa
注册表
ATT&CK - 身份验证包
04月15日ATTACK1 views评论lsa
注册表
04月15日ATTACK1 views评论lsa
注册表
ATT&CK -
利用 API 执行 攻击者工具可以直接使用 Windows 应用程序编程接口 (API) 来执行二进制文件。诸如 Windows API CreateProcess 这样的函数将允许程序和脚本使用适当...
04月15日ATTACK3 views评论二进制文件
恶意行为
ATT&CK - 通过服务进行鱼叉式钓鱼
通过服务进行鱼叉式钓鱼 通过服务进行的鱼叉式网络钓鱼是鱼叉式钓鱼的一种特殊变体。它不同于其他形式的鱼叉式网络钓鱼,它使用的是第三方服务而不是直接通过企业电子邮件渠道。 所有形式的鱼叉式钓鱼都是以电子方...
04月15日ATTACK1 views评论tls
鱼叉式网络钓鱼
ATT&CK - 磁盘结构擦除
磁盘结构擦除 攻击者可能会损坏或擦除引导系统所需的硬盘驱动器上的磁盘数据结构;针对特定的关键系统以及网络中的大量系统,以中断对系统和网络资源的可用性。 攻击者可能试图通过覆盖位于主引导记录(MBR)或...
04月15日ATTACK1 views评论mbr
struct
ATT&CK - 数据编码
数据编码 命令与控制 (C2) 信息使用标准数据编码系统进行编码。数据编码可以遵循现有的协议规范,包括使用 ASCII、Unicode、Base64、MIME、UTF-8 或其他二进制转为文本和字符编...
04月15日ATTACK1 views评论恶意软件
数据编码
ATT&CK - 命令与控制信道上的数据渗漏
命令与控制信道上的数据渗漏 在命令与控制信道上进行数据渗漏。使用与命令与控制通信相同的协议将数据编码到正常通信通道中。 缓解 适用于命令与控制的缓解。使用网络签名来识别特定恶意软件的流量的网络入侵检测...
04月15日ATTACK3 views评论命令与控制
恶意软件
ATT&CK - 本地系统的数据
本地系统的数据 可以从本地系统源收集敏感数据,例如文件系统或在数据渗漏 (Exfiltration) 之前在系统上的信息数据库。 攻击者通常会在他们已经入侵的计算机上搜索文件系统,以查找感兴趣的文件。...
04月15日ATTACK1 views评论恶意软件
敏感数据
ATT&CK - 哈希传递
哈希传递 哈希传递 (PtH) 是一种不需要访问用户明文密码就可以验证用户身份的方法。此方法绕过需要明文密码的标准身份验证步骤,直接进入使用密码散列的身份验证部分。在此技术中,使用凭据访问 (Cred...
04月15日ATTACK1 views评论明文密码
身份验证
ATT&CK - 网络共享披露
网络共享披露 网络中通常包含共享的网络驱动器和文件夹,允许用户跨网络访问不同系统上的文件目录。 Windows 在 Windows 网络上,系统通过 SMB 协议进行文件共享。 Net 可用来查询远程...
04月15日ATTACK0 views评论横向移动
驱动器
ATT&CK - 注册表中的凭据
注册表中的凭据 Windows 注册表存储由系统或其他程序使用的配置信息。 攻击者可以查询注册表,以获取已存储的供其他程序或服务使用的凭据和密码。 有时这些凭据用于自动登录。 查找与密码信息相关的注册...
04月15日ATTACK0 views评论hive
注册表
ATT&CK - 清楚的命令历史记录
清楚的命令历史记录 macOS 和 Linux 都会记录用户在终端中输入的命令,以便用户能够轻松地记住做过的事情。可以通过几种不同的方式访问这些日志。在登录时,此命令会被记录在环境变量 HISTFIL...
04月15日ATTACK1 views评论环境变量
身份验证
ATT&CK - 动态数据交换
动态数据交换 Windows 动态数据交换 (DDE) 是用于应用程序之间的一次性和/或连续进程间通信 (IPC) 的客户端-服务器协议。一旦建立连接,应用程序就可以自主地交换由字符串、温数据链接(数...
04月15日ATTACK3 views评论microsoft
ole
271