ATT&CK - 存储数据操作

存储数据操作 对手可能会插入,删除或操纵静态数据,以便操纵外部结果或隐藏活动。通过操纵存储的数据,对手可能会尝试影响业务流程,组织理解和决策。 存储的数据可以包括多种文件格式,例如Office文件,数...
admin 04月15日ATTACK10 views评论ulate 存储数据操作
阅读全文

ATT&CK - 端口试探

端口试探 端口试探是一种较为成熟的技术,目的是隐藏开放的端口以控制访问,攻击者和防御者均可使用。 为了启用端口,攻击者需发送一系列具有特定特征的数据包。 通常,这些数据包包含关闭端口预定义的尝试序列(...
admin 04月15日ATTACK9 views评论防火墙
阅读全文

ATT&CK - 污染共享内容

污染共享内容 存储在网络驱动器或其他共享位置上的内容可能被污染,通过添加恶意程序、脚本或漏洞利用代码到其他有效文件中。 一旦用户打开受污染的共享内容,就会执行恶意部分内容,从而在远程系统上运行攻击者的...
admin 04月15日ATTACK9 views评论恶意软件 横向移动
阅读全文

ATT&CK - 安全软件披露

安全软件披露 攻击者可能试图获取系统安装的安全软件、配置、防御工具和传感器的列表。这可能包括本地防火墙规则、反病毒和虚拟化。这些检查可以内置到早期远程访问工具中。 Windows 可以用来获取安全软件...
admin 04月15日ATTACK6 views评论安全软件 恶意软件
阅读全文

ATT&CK -

LLMNR/NBT-NS 中毒 链路本地多播名称解析 (LLMNR) 和 NetBIOS 名称服务 (NBT-NS) 是 Microsoft Windows 组件,可作为主机识别的备用方法。LLMNR...
admin 04月15日ATTACK15 views评论netbios 流量
阅读全文

ATT&CK -

DLL 侧载 程序可以指定在运行时加载的 DLL。 不正确或模糊地指定所需 DLL 的程序可能会导致漏洞,从而加载非预期 DLL。 当 Windows Side-by-Side (WinSxS) 的 ...
admin 04月15日ATTACK15 views评论程序 进程
阅读全文

ATT&CK - 创建账户

创建账户 具有足够访问级别的攻击者可以创建本地系统或域帐户。 这些帐户可用持久化,不需要在系统上部署持久远程访问工具。 net user 命令可用于创建本地或域帐户。 缓解 使用并强制执行多因素身份验...
admin 04月15日ATTACK14 views评论域帐户 域控制器
阅读全文

ATT&CK - 服务停止

服务停止 对手可能会停止或禁用系统上的服务,以使合法用户无法使用这些服务。停止关键服务可能会抑制或停止对事件的响应,或者有助于对手的总体目标,从而对环境造成破坏。 攻击者可以通过禁用对组织非常重要的单...
admin 04月15日ATTACK8 views评论exchange 注册表
阅读全文

ATT&CK - 多层加密

多层加密 攻击者使用多层加密来执行 C2 通信,通常(但不完全)在协议加密方案(如 HTTPS 或 SMTPS) 中隧道化自定义加密方案。­ 缓解 使用网络签名来识别特定恶意软件的流量的网络入侵检测和...
admin 04月15日ATTACK16 views评论tls 恶意软件
阅读全文

ATT&CK - 视频捕获

视频捕获 攻击者可以利用计算机的外围设备(如集成摄像头或网络摄像头)或应用程序(如视频通话服务)捕获视频记录以便收集情报。 还可以从设备或应用程序捕获图像(可能以指定的间隔),从而替代视频文件。 恶意...
admin 04月15日ATTACK10 views评论恶意软件 摄像机
阅读全文