LC_MAIN劫持 从OS X 10.8开始,mach-O二进制文件引入了一个名为LC_MAIN的新头文件,该头文件指向二进制文件的执行入口。以前,有两个标头可实现相同的效果:LC_THREAD和LC...
04月15日ATTACK1 views评论二进制文件
白名单
ATT&CK -
04月15日ATTACK1 views评论二进制文件
白名单
04月15日ATTACK1 views评论二进制文件
白名单
ATT&CK - 文件名后的空格
文件名后的空格 攻击者可以通过更改文件的扩展名来隐藏程序的真正文件类型。对于某些文件类型(特别地,对于拓展名。app 并不适用),在文件名后面追加一个空格将改变操作系统处理该文件的方式。例如,如果有一...
04月15日ATTACK1 views评论二进制文件
文件类型
ATT&CK -
添加LC_LOAD_DYLIB Mach-O二进制文件具有一系列标头,这些标头用于在加载二进制文件时执行某些操作。Mach-O二进制文件中的LC_LOAD_DYLIB标头告诉macOS和OS X在执行...
04月15日ATTACK2 views评论macos
二进制文件
ATT&CK - 签名的二进制代理执行
签名的二进制代理执行 具有可信数字证书签名的二进制文件可以在受数字签名验证保护的 Windows 系统上执行。 Windows 安装中默认的几个 Microsoft 签名二进制文件可以用于代理其他文件...
04月15日ATTACK2 views评论二进制
二进制文件
ATT&CK - 服务执行
服务执行 攻击者可以通过与 Windows 服务交互的方法(例如服务控制管理器)执行二进制文件,命令或脚本。这可以通过创建新服务或修改现有服务来完成。此技术是在服务持久化或权限提升期间结合创建新服务和...
04月15日ATTACK2 views评论二进制文件
持久化
ATT&CK -
Regsvr32 Regsvr32.exe 是一个命令行程序,用于在 Windows 系统上注册和取消注册对象链接和嵌入控件,包括动态链接库 (DLLs)。 Regsvr32.exe 可用于执行任意二...
04月15日ATTACK4 views评论microsoft
白名单
ATT&CK -
Regsvcs/Regasm Regsvcs 和 Regasm 是 Windows 命令行实用程序,用于注册。NET 组件对象模型 (COM) 程序集。 两者都是由 Microsoft 进行数字签名的...
04月15日ATTACK2 views评论二进制文件
实用程序
ATT&CK - 文件系统权限缺陷
文件系统权限缺陷 进程可以自动执行特定二进制文件作为其功能的一部分,或执行其他操作。如果对包含目标二进制文件的文件系统目录的权限或对二进制文件本身的权限设置不正确,则目标二进制文件可能会被另一个使用用...
04月15日ATTACK1 views评论二进制文件
可执行文件
ATT&CK -
InstallUtil InstallUtil 是一个命令行实用程序,它允许通过执行。net 二进制文件中指定的特定安装程序组件来安装和卸载资源。 InstallUtil 位于 Windows 系统的...
04月15日ATTACK1 views评论microsoft
二进制文件
ATT&CK - 代码签名
代码签名 代码签名为来自开发人员的二进制文件提供了一定程度的真实性,并保证该文件没有被篡改。 然而,已知攻击者会使用代码签名证书来将恶意软件和工具伪装成合法的二进制文件 。 操作中使用的证书可能是由攻...
04月15日ATTACK0 views评论二进制文件
真实性
ATT&CK -
利用 API 执行 攻击者工具可以直接使用 Windows 应用程序编程接口 (API) 来执行二进制文件。诸如 Windows API CreateProcess 这样的函数将允许程序和脚本使用适当...
04月15日ATTACK3 views评论二进制文件
恶意行为
360漏洞研究院:xz-utils后门漏洞 CVE-2024-3094 深度分析
1事件背景3月29日,微软PostgreSQL开发人员Andres Freund在oss-security上公告[1]他发现开源项目xz-utils存在后门漏洞。该项目遭到供应链攻击,项目维护者jia...
04月02日142 views评论二进制文件
恶意代码
14