ATT&CK - 服务执行

服务执行 攻击者可以通过与 Windows 服务交互的方法(例如服务控制管理器)执行二进制文件,命令或脚本。这可以通过创建新服务或修改现有服务来完成。此技术是在服务持久化或权限提升期间结合创建新服务和...
admin 04月15日ATTACK11 views评论二进制文件 持久化
阅读全文

ATT&CK -

Web 服务 攻击者可以使用现有的合法外部 Web 服务将命令转发到受攻击系统。 这些命令还可以包括指向命令与控制 (C2) 基础结构的指针。攻击者可能会在带有嵌入式(通常是混淆/编码的)域名或 IP...
admin 04月15日ATTACK11 views评论恶意软件
阅读全文

ATT&CK - 域信任披露

域信任披露 对手可能会尝试收集有关域信任关系的信息,这些信息可用于识别Windows多域/林环境中的横向移动(TA0008)机会。域信任为域提供了一种机制,该机制允许基于另一个域的身份验证过程访问资源...
admin 04月15日ATTACK14 views评论nltest trusts
阅读全文

ATT&CK -

盗取Web会话Cookie 攻击者可能会窃取Web应用程序或服务会话cookie,并以身份验证的用户身份使用它们来获取访问Web应用程序或Internet服务的权限,而无需凭据。用户对网站进行身份验证...
admin 04月15日ATTACK8 views评论cookies 身份验证
阅读全文

ATT&CK -

Hypervisor 类型-1 Hypervisor 是位于客户操作系统和系统硬件之间的软件层。它为操作系统提供了一个虚拟的运行环境。常见 hypervisor 的例子是 Xen。 类型-1 hype...
admin 04月15日ATTACK12 views评论hypervisor 软件层
阅读全文

ATT&CK - 脚本

脚本 攻击者可以使用脚本来帮助操作并执行多个操作,否则需要手动执行这些操作。脚本编写对于加速操作任务和减少访问关键资源所需的时间非常有用。一些脚本语言可以通过API与操作系统交互而不是调用其他程序来绕...
admin 04月15日ATTACK17 views评论powershell 脚本语言
阅读全文

ATT&CK - 不常用端口

不常用端口 攻击者可以通过非标准端口进行 C2 通信,以绕过未正确配置的代理和防火墙。 缓解 正确配置防火墙和代理,以将出口流量限制为仅需要的端口。 使用网络签名来识别特定恶意软件的流量的网络入侵检测...
admin 04月15日ATTACK12 views评论恶意软件 防火墙
阅读全文

ATT&CK -

Web浏览器凭证 攻击者可以通过读取特定于目标浏览器的文件来从Web浏览器获取凭据。 Web浏览器通常会保存凭据,例如网站用户名和密码,以便将来无需手动输入它们。Web浏览器通常将凭据以加密格式存储在...
admin 04月15日ATTACK10 views评论credential ers
阅读全文

ATT&CK - 文件权限修改

文件权限修改 文件权限通常由文件所有者指定的自由访问控制列表 (DACL) 管理。 文件 DACL 实现可能因平台而异,但通常明确指定哪些用户/组可以执行哪些操作(例如:读、写、执行等)。 攻击者可能...
admin 04月15日ATTACK14 views评论dacl 二进制
阅读全文

ATT&CK -

SID-History 注入 Windows 安全标识符 (SID) 是独一无二的,用于标识用户或组帐户。 Windows 安全中心在安全描述符和访问令牌中都使用 SID。 帐户可以在 SID-His...
admin 04月15日ATTACK11 views评论history sid
阅读全文