端口试探 端口试探是一种较为成熟的技术,目的是隐藏开放的端口以控制访问,攻击者和防御者均可使用。 为了启用端口,攻击者需发送一系列具有特定特征的数据包。 通常,这些数据包包含关闭端口预定义的尝试序列(...
04月15日ATTACK0 views评论防火墙
ATT&CK - 端口试探
04月15日ATTACK0 views评论防火墙
04月15日ATTACK0 views评论防火墙
ATT&CK - 污染共享内容
污染共享内容 存储在网络驱动器或其他共享位置上的内容可能被污染,通过添加恶意程序、脚本或漏洞利用代码到其他有效文件中。 一旦用户打开受污染的共享内容,就会执行恶意部分内容,从而在远程系统上运行攻击者的...
04月15日ATTACK3 views评论恶意软件
横向移动
ATT&CK - 安全软件披露
安全软件披露 攻击者可能试图获取系统安装的安全软件、配置、防御工具和传感器的列表。这可能包括本地防火墙规则、反病毒和虚拟化。这些检查可以内置到早期远程访问工具中。 Windows 可以用来获取安全软件...
04月15日ATTACK2 views评论安全软件
恶意软件
ATT&CK -
LLMNR/NBT-NS 中毒 链路本地多播名称解析 (LLMNR) 和 NetBIOS 名称服务 (NBT-NS) 是 Microsoft Windows 组件,可作为主机识别的备用方法。LLMNR...
04月15日ATTACK4 views评论netbios
流量
ATT&CK -
DLL 侧载 程序可以指定在运行时加载的 DLL。 不正确或模糊地指定所需 DLL 的程序可能会导致漏洞,从而加载非预期 DLL。 当 Windows Side-by-Side (WinSxS) 的 ...
04月15日ATTACK1 views评论程序
进程
ATT&CK - 启动守护程序
启动守护程序 根据Apple的开发人员文档,当启动macOS和OS X时,将运行启动来完成系统初始化。此过程从/System/Library/LaunchDaemons和/Library/Launch...
04月15日ATTACK2 views评论library
osx
ATT&CK - 创建账户
创建账户 具有足够访问级别的攻击者可以创建本地系统或域帐户。 这些帐户可用持久化,不需要在系统上部署持久远程访问工具。 net user 命令可用于创建本地或域帐户。 缓解 使用并强制执行多因素身份验...
04月15日ATTACK3 views评论域控制器
访问级别
ATT&CK - 本地作业调度
本地作业调度 在 Linux 和 macOS 系统上,有多种方法可以创建预定的和周期性的后台作业:cron、at、 和 launchd。与 Windows 系统上的调度任务不同,基于 linux 的系...
04月15日ATTACK1 views评论cron
macos
ATT&CK - 服务停止
服务停止 对手可能会停止或禁用系统上的服务,以使合法用户无法使用这些服务。停止关键服务可能会抑制或停止对事件的响应,或者有助于对手的总体目标,从而对环境造成破坏。 攻击者可以通过禁用对组织非常重要的单...
04月15日ATTACK3 views评论exchange
注册表
ATT&CK - 多层加密
多层加密 攻击者使用多层加密来执行 C2 通信,通常(但不完全)在协议加密方案(如 HTTPS 或 SMTPS) 中隧道化自定义加密方案。 缓解 使用网络签名来识别特定恶意软件的流量的网络入侵检测和...
04月15日ATTACK2 views评论tls
恶意软件
ATT&CK - 视频捕获
视频捕获 攻击者可以利用计算机的外围设备(如集成摄像头或网络摄像头)或应用程序(如视频通话服务)捕获视频记录以便收集情报。 还可以从设备或应用程序捕获图像(可能以指定的间隔),从而替代视频文件。 恶意...
04月15日ATTACK3 views评论恶意软件
摄像机
ATT&CK -
共享 Webroot 攻击者可以通过包含网站的 webroot 或 Web 内容目录 的开放网络文件共享将恶意内容添加到内部可访问的网站,然后使用 Web 浏览器浏览到该内容以使服务器执行恶意内容。恶...
04月15日ATTACK0 views评论webroot
网络共享
5558