ATTCK v12版本战术介绍持久化(三)

news2024/12/22 19:32:02

一、引言

在前几期文章中我们介绍了ATT&CK中侦察、资源开发、初始访问、执行战术、持久化战术(一)及(二)知识,本期我们为大家介绍ATT&CK 14项战术中持久化战术(三)涉及的剩余子技术,后续会陆续介绍其他战术内容,敬请关注。

二、ATT&CK v12简介

MITRE ATT&CK 是一个全球可访问的基于现实世界观察的对手战术和技术知识库。ATT&CK 知识库被用作在私营部门、政府以及网络安全产品和服务社区中开发特定威胁模型和方法的基础。

2022年10月25日发布的ATT&CK v12版本更新了适用于企业、移动设备和 ICS(工业控制系统)框架的技术、组和软件。v12最大的变化是在ATT&CK中增加了ICS的检测,描述了检测各种ICS技术的方法,每种方法都与特定的数据源和数据组件相关联,检测功能既利用了传统的主机和基于网络的采集,也利用了ICS特定的来源,如资产和运营数据库等。

ATT&CK v12 for Enterprise包含14个战术、193个技术、401个子技术、135个组织、718个软件。

ATT&CK战术全景图(红框为持久化战术)

三、持久化战术

3.1 概述

持久化包括攻击者用来在重新启动、更改凭据和其他中断期间保持对系统的访问的技术,例如替换或劫持合法代码或添加启动代码。

持久化战术包括19种技术,前几期给大家介绍了前12项技术,本期为大家逐一介绍最后7项技术。

3.2 修改身份验证过程(T1556)

攻击者可以修改身份验证机制和流程,以访问用户凭据或启用不必要的对账户的访问。身份验证过程通过机制处理,例如Windows上的本地安全身份验证服务器(LSASS)进程和安全帐户管理器(SAM)等。

攻击者可能会恶意篡改身份验证过程,以泄露凭据或绕过身份验证机制。泄露的凭据可用于绕过访问控制,并持续访问远程系统和外部可用服务。

修改身份验证过程技术包含7项子技术,介绍如下:

3.2.1 域控制器验证(T1556.001)

攻击者可能会修改域控制器上的身份验证过程,以绕过典型的身份验证机制访问账户。

恶意软件可用于在域控制器上的身份验证过程中注入虚假凭据,目的是创建用于访问任何用户的帐户或凭据的后门。经过身份验证的访问可以实现对单因素身份验证环境中的主机或资源的无限制访问。

3.2.2 密码过滤器DLL(T1556.002)

攻击者可能会将恶意密码过滤器动态链接库(Dll)注册到身份验证过程中,以便在验证用户凭据时获取这些凭据。

Windows密码过滤器是域和本地帐户的密码策略强制机制。过滤器作为Dll实现,其中包含根据密码策略验证潜在密码的方法。

攻击者可以注册恶意密码过滤器,以从本地计算机或整个域获取凭据。要执行正确的验证,过滤器必须从LSA接收纯文本凭据。每次发出密码请求时,恶意密码过滤器都会收到这些纯文本凭据。

3.2.3 可插入的身份验证模块(T1556.003)

攻击者可修改可插入的身份验证模块(PAM)以访问用户凭据或非法访问帐户。PAM是一个由配置文件、库和可执行文件组成的模块化系统,用于指导许多服务的身份验证。

攻击者可能会修改PAM系统的组件以创建后门。对PAM系统的恶意修改也可被利用以窃取凭据。

3.2.4 网络设备认证(T1556.004)

攻击者可以使用补丁系统镜像来硬编码操作系统中的密码,从而绕开网络设备上本地帐户的本地身份验证机制。在验证尝试时,插入的代码将首先检查用户输入的是否是密码。如果是,则授予访问权限。否则,植入的代码将传递凭据以验证潜在有效的凭据。

3.2.5 可逆加密(T1556.005)

攻击者可能会利用Active Directory身份验证加密属性以访问windows系统上的凭据。可逆密码加密属性指定是启用还是禁用帐户的可逆密码加密。默认情况下,此属性处于禁用状态。如果启用该属性,则攻击者可能会创建或更改的密码的明文。攻击者需要如下四个组件可以解密密码:

来自Activedirectory用户结构用户参数的加密密码(G$RADIUSCHAP)

也来自userParameters的16字节随机生成的值(G$RADIUSCHAPKEY)

全球LSA秘密(G$MSRADIUSCHAPKEY)

远程访问子身份验证DLL(RASSFM)中硬编码的静态密钥。

攻击者可以通过本地组策略编辑器、用户属性、细粒度密码策略(FGPP)或ActiveDirectory PowerShell模块设置此属性。

3.2.6 多因素认证(T1556.006)

攻击者可能会禁用或修改多因素身份验证(MFA)机制,以启用对帐户的持久访问。

根据攻击者的范围、目标和权限,可能会对单个帐户或与较大组关联的所有帐户(例如受害者网络环境中的所有域帐户)禁用MFA防御。

3.2.7 混合身份(T1556.007)

攻击者可能会修改与本地用户身份相关联的云身份验证过程,以绕过典型的身份验证机制、访问凭据并持久访问帐户。

许多组织维护在内部部署和基于云的环境之间共享的混合用户和设备身份。通过修改绑定到混合身份的身份验证过程,攻击者可以建立对云资源的持久特权访问。

3.2.8 缓解措施

ID

缓解措施

描述

M1047

审计

检查身份验证日志以确保MFA强制等机制按预期运行。

M1032

多因素身份认证

通过多因素身份验证(MFA)降低攻击者获得有效凭据控制权的风险,限制对云资源和Api的访问。

M1028

操作系统配置

确保仅注册有效的密码过滤器。

M1027

密码策略

确保AllowReversiblePasswordEncryption属性设置为disabled,除非有应用程序要求。

M1026

特权账户管理

审计域和本地帐户,限制对根帐户的访问, 限制本地账户。

M1025

特权进程完整性

LSA的启用功能

M1022

限制文件和目录权限

限制对/library/security/securityagentplugins目录的写入访问权限。

M1018

用户账户管理

确保实施适当的策略,保障用户帐户的身份验证机制的安全注册和停用。

3.2.9 检测

ID

数据源

数据组件

检测

DS0026

活动目录

活动目录对象对象

监控对与MFA登录要求相关的AD安全设置所做的更改。

DS0015

应用日志

应用日志内容

启用安全审核收集日志,例如,监控Azure AD应用程序代理连接器的登录,这些登录通常仅在添加新的通过身份验证(PTA)代理时生成。如果AD FS正在使用中,查看事件ID501的日志,该日志指定声明的所有EKU属性,并对环境中未配置的任何值发出警报。

DS0022

文件

文件创建

监视/Library/Security/SecurityAgentPlugins目录中的可疑添加。

文件修改

监控与身份验证过程相关的文件的可疑修改,例如配置文件和模块路径(例如/etc/pam)

DS0028

登录会话

登录会话创建

监控异常登录行为,包括:一个账号同时登录到多个系统;单账号多IP同时登录,异常时间或异常地点登录等行为。

DS0011

模块

模块加载

监控写入域控制器或本地计算机的新增DLL文件。

DS0009

进程

OS API执行

监控域控制器上的进程或者跟身份验证机制相关的DLL的修改。

进程访问

监控与身份验证机制交互的未知进程。

DS0002

用户账户

用户账户认证

监控未提供MFA凭据的帐户身份验证。

用户账户修改

使用无需MFA凭据即可成功登录的设备和用户帐户的注册。

DS0024

Windows注册表

Windows注册表修改

监控对密码过滤器的注册表值的修改,分析这些文件引用的DLL文件。

3.3 启动Office应用程序(T1137)

攻击者可能会在启动Office应用程序时,可以使用Office模板宏和加载项、Outlook规则、表单和主页等方式实现持久化。

启动Office应用程序技术包含6项子技术,介绍如下:

3.3.1 Office模板宏(T1137.001)

攻击者可能会利用Office模板获得持久性。VBA宏可以插入到基本模板中,并用于在相应的Office应用程序启动时执行代码,以便获得持久性。

攻击者还可以通过劫持应用程序的搜索顺序来更改基本模板的位置以指向自己的位置,攻击者可能需要启用宏以不受限制地执行,具体取决于使用宏的系统安全策略。

3.3.2 Office测试(T1137.002)

攻击者可能会利Office测试注册表项以获得持久性。Office测试注册表位置,允许用户指定每次启动Office应用程序时执行的任意DLL。

存在Office测试功能的用户和全局注册表项:

HKEY_CURRENT_USER\Software\Microsoft\Office test\Special\PerfHKEY_LOCAL_MACHINE\Software\Microsoft\Office test\Special\Perf

攻击者可以添加此注册表项并指定恶意DLL,该DLL将在启动Office应用程序时执行。

3.3.3 Outlook表格(T1137.003)

攻击者可能会利用Outlook表单以获得持久性。Outlook表单用作Outlook邮件中的演示文稿和功能的模板,可以创建自定义Outlook表单,当恶意电子邮件由对手使用相同的自定义Outlook表单发送时,这些表单将执行代码。

一旦恶意表单被添加到用户的邮箱中,它们将在Outlook启动时加载。当攻击者向用户发送恶意电子邮件时,恶意表单将执行。

3.3.4 Outlook主页(T1137.004)

攻击者可能会利用Outlook的主页功能以获得持久性。Outlook主页功能允许在打开文件夹时加载和显示内部或外部URL。攻击者可以制作恶意HTML页面,该页面将在Outlook主页加载时执行代码。一旦恶意主页已添加到用户的邮箱,它们将在Outlook启动时加载。

3.3.5 Outlook规则(T1137.005)

攻击者可能会利用Outlook规则以获得持久性,Outlook规则允许用户定义管理电子邮件的自动行为。攻击者可以创建恶意Outlook规则,向用户发送恶意电子邮件时,这些规则可以触发代码执行。一旦恶意规则已添加到用户的邮箱,它们将在Outlook启动时加载。

3.3.6 加载项(T1137.006)

攻击者可能会利用Office加载项以获得持久性,Office加载项可用于向Office程序添加功能,包括Word/Excel加载项库(WLL/XLL)、VBA加载项、Office组件对象模型(COM)加载项、自动化加载项、VBA编辑器(VBE)、Visual Studio Tools For Office(VSTO)加载项和Outlook 等,加载项可以设置为在Office应用程序启动时执行代码。

3.3.7 缓解措施

ID

缓解措施

描述

M1040

端点行为防御

在Windows10上,启用攻击面减少(ASR)规则以防止Office应用程序创建子进程并将恶意代码写入磁盘。

M1042

禁用或删除程序

禁止执行Office vba宏。禁用Office加载项。

M1054

软件配置

创建用于执行Office测试的注册表项,并将权限设置为"读取控制"。

M1051

更新软件

确保将阻止Outlook Visual Basic并显示恶意代码警告的KB3191938、默认情况下禁用自定义表单的KB4011091和删除旧版主页功能的KB4011162应用于系统。

3.3.8 检测

ID

数据源

数据组件

检测

DS0015

应用日志

应用日志内容

监控第三方应用程序日志记录。

DS0017

命令

命令执行

监控执行的命令和参数,Microsoft已经发布了一个PowerShell脚本,以安全地收集邮件环境中的邮件转发规则和自定义表单以及解释输出的步骤。

DS0022

文件

文件创建

监控新创建的文件

文件修改

监控对文件所做的修改

DS0011

模块

模块加载

监控DLL/PE文件事件,从中查找未知或未加载到进程中的DLL。

DS0009

进程

进程创建

监控新执行的进程,收集进程执行信息,包括进程Id和父进程Id,并查找由Office进程导致的异常活动。

DS0024

Windows注册表

Windows注册表创建

监控新建的Windows注册表项。

Windows注册表修改

监控修改的Windows注册表项。

3.4 操作系统前启动(T1542)

攻击者可能会利用操作系统前启动机制建立持久性。在计算机的启动过程中,固件和各种启动服务在操作系统之前加载,这些程序在操作系统控制之前控制执行流程。

在操作系统前启动技术包含5项子技术,介绍如下:

3.4.1 系统固件(T1542.001)

攻击者可能会修改系统固件以建立持久性。例如BIOS(基本输入/输出系统)和统一可扩展固件接口(UEFI)或可扩展固件接口(EFI)等。

系统固件削弱了计算机的功能,并且可能被攻击者修改以执行恶意活动。

3.4.2 组件固件(T1542.002)

攻击者可能会修改组件固件以建立持久性。攻击者可能会使用复杂的手段来破坏计算机组件并安装恶意固件,这些固件将在操作系统和主系统固件或BIOS之外执行恶意代码。

3.4.3 Bootkit(T1542.003)

攻击者可以使用bootkit来持久化系统。Bootkit是一种恶意软件变体,可修改硬盘驱动器的引导扇区,包括主引导记录(MBR)和卷引导记录(VBR)。MBR是BIOS完成硬件初始化后首先加载的磁盘部分,引导加载程序的位置。对启动驱动器具有原始访问权限的攻击者可能会覆盖此区域,从而将启动期间的执行从正常启动加载程序转移到恶意代码。

MBR将引导过程的控制传递给VBR。与MBR的情况类似,对启动驱动器具有原始访问权限的攻击者可能会覆盖VBR以将启动期间的执行转移到恶意代码。

3.4.4 RommonKit(T1542.004)

攻击者可能会利用ROM监视器(ROMMON),通过加载带有恶意代码的未经授权的固件来提供持久访问。

攻击者可以使用恶意代码在本地或远程升级ROMMON镜像,并重新启动设备,以覆盖现有的ROMMON镜像。

3.4.5 TFTP启动(T1542.005)

Netbooting是引导序列中的一个选项,可用于集中、管理和控制设备镜像。攻击者可能会利用Netbooting从TFTP服务器加载未经授权的网络设备操作系统。

攻击者可以操纵网络设备上的配置,指定使用恶意TFTP服务器,该服务器可以与修改系统映像一起使用,以便在设备启动或重置时加载修改后的镜像。未经授权的镜像允许对手修改设备配置,向设备添加恶意功能,并引入后门以保持对网络设备的控制。

3.4.6 缓解措施

ID

缓解措施

描述

M1046

启动完整性

使用受信任的启动过程,检查现有BIOS或EFI的完整性,以确定它是否容易被修改。

M1026

特权账户管理

确保具有适当的权限,防止特权帐户被利用。

M1051

更新软件

根据需要修补BIOS和EFI。

3.4.7 检测

ID

数据源

数据组件

检测

DS0017

命令

命令执行

监控命令历史记录中执行的命令和参数,以确定是否使用了未经授权或可疑的命令来修改设备配置。

DS0016

驱动

驱动修改

监控MBR和VBR发生的变化,以确定可疑活动和进一步分析的指标。记录MBR和VBR的快照,并与已知的良好样本进行比较。

DS0027

驱动

驱动程序元数据

监控磁盘检查、取证实用程序和来自设备驱动程序(即进程和API调用)的数据。

DS0001

固件

固件修改

监控在操作系统前引导机制上所做的更改。

DS0029

网络流量

网络连接创建

监控新构建的网络设备配置和系统镜像,以发现对系统引导、启动配置或正在运行的操作系统的未经授权的更改。

DS0009

进程

OS API执行

监控利用操作系统前引导机制的API调用。

3.5 利用计划任务(T1053)

攻击者可能会利用计划任务功能在系统启动时或定期重复执行恶意代码以实现持久性。

利用计划任务技术包含5项子技术,介绍如下:

3.5.1 At(T1053.002)

攻击者可能会利用at程序来执行任务调度,以初始或重复执行恶意代码。At程序用于在指定的时间和日期调度任务。

3.5.2 Cron(T1053.003)

攻击者可能会利用cron程序来执行任务调度,以初始或重复执行恶意代码来实现持久性。cron程序是基于时间的作业调度程序,Crontab文件包含要运行的cron条目的时间表和指定的执行时间。

3.5.3 计划任务(T1053.005)

攻击者可能会利用Windows任务计划程序来执行任务计划,以初始或重复执行恶意代码来实现持久性。有多种方法可以访问Windows中的任务计划程序:Schtasks程序可以直接在命令行上运行;也可以通过控制面板的管理员工具部分内的GUI打开任务计划程序;攻击者使用Windows任务计划程序的.NET包装器;攻击者使用Windows netapi32库创建计划任务。

攻击者还可能创建"隐藏"计划任务,这些任务可能对用于枚举任务的defender工具和手动查询不可见。具体来说,攻击者可以通过删除关联的安全描述符(SD)注册表值从schtasks或查询和任务计划程序中隐藏任务,也可以使用其他方法来隐藏任务,例如更改关联注册表项中的元数据等。

3.5.4 SystemD计时器(T1053.006)

攻击者可能会利用systemd计时器来执行任务调度,以初始或重复执行恶意代码。Systemd定时器是控制服务的定时器,Systemd计时器可以通过systemctl命令行实用程序远程激活,程序通过SSH运行。

攻击者可以使用systemd计时器在系统启动时或按计划执行恶意代码以实现持久性。使用特权路径安装的计时器可用于维护根级别持久性。攻击者还可以安装用户级计时器以实现用户级持久性。

3.5.5 容器编排任务(T1053.007)

攻击者可能会利用容器编排工具(如Kubernetes)提供的任务调度功能部署带有恶意代码的容器。容器编排任务在特定的日期和时间运行这些自动化任务。

在Kubernetes中,CronJob可用于调度运行一个或多个容器以执行特定任务的任务。因此,攻击者可以利用CronJob来计划在集群内的各个节点中执行恶意代码任务的部署。

3.5.6 缓解措施

ID

缓解措施

描述

M1047

审计

审计计划任务中可用于特权升级的权限漏洞。

M1028

操作系统配置

配置计划任务的设置,以强制任务在经过身份验证的帐户下运行。

M1026

特权账户管理

将"增加调度优先级"选项配置为仅允许管理员组调度优先级进程的权限。

M1018

用户账户管理

限制用户帐户的权限,只有授权管理员才能在远程系统上创建计划任务。

3.5.7 检测

ID

数据源

数据组件

检测

DS0017

命令

命令执行

监控已执行命令和参数。

DS0032

容器

容器创建

监控新创建的容器。

DS0022

文件

文件创建

监控新创建的文件。

文件修改

监控对文件所做的更改。

DS0009

进程

进程创建

监控新创建的进程。

DS0003

计划任务

计划任务创建

监控新建的计划任务。

3.6 利用服务器软件(T1505)

攻击者可能会利用服务器的合法可扩展开发功能来建立对系统的持久访问。 服务器应用程序包括允许开发人员编写和安装软件或脚本以扩展主应用程序功能。 攻击者可能安装恶意组件来扩展和利用服务器应用程序。

利用服务器软件技术包含5项子技术,介绍如下:

3.6.1 SQL存储过程(T1505.001)

攻击者可能会利用SQL存储过程来建立对系统的持久访问。SQL存储过程是可以保存和重用的代码,存储过程可以通过sql语句使用过程名称或通过定义的事件调用数据库。

攻击者可能会制造恶意存储过程,这些过程可以在SQL数据库服务器中提供持久性机制。

3.6.2 传输代理(T1505.002)

攻击者可能会利用Microsoft传输代理来建立对系统的持久访问。Microsoft Exchange传输代理可以对通过传输管道的电子邮件进行操作,以执行各种任务。

攻击者可以注册恶意传输代理,以便在Exchange Server中提供可由攻击者指定的电子邮件事件触发的持久性机制。

3.6.3 WebShell(T1505.003)

攻击者可利用web shell为web服务器设置后门,以建立对系统的持久访问。 Webshell是放置在可公开访问的Web服务器上的Web脚本,允许攻击者使用Web服务器作为网关。Web shell可以在承载Web服务器的系统上提供一组要执行的函数或命令行界面。

3.6.4 IIS组件(T1505.004)

攻击者可在IIS服务器上运行恶意代码以建立持久性。攻击者可以安装恶意ISAPI扩展和过滤器来修改流量,在受损机器上执行命令,ISAPI扩展和筛选器可以访问所有IIS web请求和响应。例如,攻击者可能会利用这些机制来修改HTTP响应,以便将恶意命令分发到以前包含的主机。攻击者还可能安装恶意IIS模块来修改流量。

3.6.5 终端服务DLL(T1505.005)

攻击者可能会利用终端服务的组件来实现对系统的持久访问。终端服务允许服务器通过RDP向客户端传输完整的交互式图形用户界面。

攻击者可以修改或替换终端服务DLL以启用对受害主机的持久访问,修改这个DLL可以执行任意的有效载荷。

3.6.6 缓解措施

ID

缓解措施

描述

M1047

审计

定期检查关键服务上的组件软件,确定是否进行了更改。

M1045

代码签名

确保所有应用程序组件二进制文件都由正确的应用程序开发人员签名。

M1042

禁用或删除功能或程序

适当情况下禁用服务器中的软件组件,以防止攻击者利用。

M1026

特权帐户管理

管理员账号最小化授权管理原则。

M1024

限制注册表权限

使用组策略来配置和阻止对注册表中的服务和其他关键服务器参数的修改。

M1018

用户账户管理

只有授权帐户才能修改或添加服务器软件组件。

3.6.7 检测

ID

数据源

数据组件

检测

DS0015

应用日志

应用日志内容

监控第三方应用程序日志记录,以查找可疑安装应用软件组件的异常行为。

DS0022

文件

文件创建

监控与新应用软件组件的安装相关联的文件新增。

文件修改

监控对文件所做的修改。

DS0029

网络流量

网络流量内容

监控和分析流量和数据包检查、进程监视和命令行的相关参数。

网络流量

监控未知的异常网络数据。

DS0009

进程

进程创建

进程监控用于检测执行可疑操作的服务器组件,例如运行cmd.exe或访问文件。

3.7 使用流量(T1205)

攻击者可以使用流量隐藏开放端口或其他恶意功能,例如打开封闭端口或执行恶意代码,在打开一个端口之前发送一系列恶意数据包,攻击者可以使用该端口进行命令和控制。

攻击者也可能与已经打开的端口通信,但在该端口上侦听的服务只会响应命令或触发其他恶意功能。

在网络设备上,攻击者可以使用精心设计的数据包来为设备提供的标准服务启用网络设备身份验证,还可以用于打开诸如telnet的封闭服务端口,或者用于触发设备上的恶意软件能力。

攻击者也可以使用LAN唤醒功能来打开已关闭电源的系统。LAN唤醒是一种硬件功能,它允许断电系统通过向其发送数据包来打开或唤醒它。一旦系统通电,它可能成为横向移动的目标。

利用流量技术包含2项子技术,介绍如下:

3.7.1 端口试探(T1205.001)

攻击者可以使用端口试探来隐藏打开端口。为了启用端口,攻击者向预定义的关闭端口程序发送一系列尝试连接,程序完成后,打开端口通常由基于主机的防火墙完成,但也可以通过自定义软件实现。

端口试探技术既用于动态打开侦听端口,也用于启动不同系统到侦听服务器的连接。

3.7.2 Socket过滤器(T1205.002)

攻击者可以将过滤器连接到网络套接字,可监控并激活后门。通过提升权限,攻击者可以使用libpcap库等功能打开套接字并安装过滤器,以确定某些类型的数据是否可以通过套接字。过滤器可能适用于通过指定的网络接口的所有流量,当网络接口接收到匹配过滤条件的数据包时,可以在主机上触发操作,例如激活反向shell。

3.7.3 缓解措施

ID

缓解措施

描述

M1042

禁用或删除功能或程序

禁用不必要的功能或程序。

M1037

过滤网络流量

可通过防火墙过滤网络流量。

3.7.4 检测

ID

数据源

数据组件

检测

DS0029

网络流量

网络连接创建

监控不受信任的主机发送或接收的新的网络连接。

网络流量内容

监控和分析网络数据包内容。

网络流量

监控和分析与不遵循标准协议的网络通信流。

DS0009

进程

进程创建

使用原始套接字识别正在运行的进程。

3.8 利用有效账户(T1078)

攻击者可以获取和利用现有帐户的凭据,作为获得初始访问、持久性、特权升级或逃避防御的手段。 泄露的凭据可用于绕过访问控制,用于持久访问远程系统和外部可用服务,受威胁的凭据也可能授予攻击者对特定系统的更多特权。

在系统网络中,本地、域和云帐户的权限重叠是值得关注的,因为攻击者可能跨帐户和系统访问,以达到较高的访问级别。

利用有效账户技术包含4项子技术,介绍如下:

3.8.1 默认账户(T1078.001)

攻击者可获取并利用默认帐户的凭据,作为获得初始访问、持久性、特权升级或防御逃避的手段。默认帐户是操作系统或其他设备内置的帐户,预置用户名和密码不修改的话很容易成为攻击者的目标。

3.8.2 域账户(T1078.002)

攻击者可获取并利用域帐户凭据,作为获得初始访问、持久性、特权升级或逃避防御的手段。域帐户是由Active Directory域服务管理的帐户,其中访问和权限是跨属于该域的系统和服务配置的。域帐户可以覆盖用户、管理员和服务。

3.8.3 本地账户(T1078.003)

攻击者可获取并利用本地帐户的凭据,作为获得初始访问、持久性、特权升级或防御逃避的手段。本地帐户是由组织配置的帐户,供用户、远程支持、服务在系统上管理。

3.8.4 云账户(T1078.004)

攻击者可获取并利用云帐户的凭据,作为获得初始访问、持久性、特权升级或防御逃避的手段。云帐户是由组织创建和配置的帐户,供用户、远程支持、服务、云服务提供商或SaaS应用程序内的资源管理使用。

云帐户的受损凭据可用于从在线存储帐户和数据库中获取敏感数据。与域帐户类似,对云帐户的入侵可能使攻击者更容易在环境中横向移动。

3.8.5 缓解措施

ID

缓解措施

描述

M1013

应用开发者指南

确保应用程序不会明文存储敏感数据或凭据。

M1027

密码策略

使用默认用户名和密码的应用程序和设备应在安装后立即更改,并在部署到生产环境之前更改。

M1026

特权账户管理

定期审核域和本地帐户及其权限级别,包括是否启用了默认帐户,或者是否创建了未经授权的新本地帐户。

M1018

用户账户管理

定期审核用户帐户的活动,并停用或删除任何不再需要的帐户。

M1017

用户培训

加强安全意识,启用多因素身份验证。

3.8.6 检测

ID

数据源

数据组件

检测

DS0028

登录会话

登录会话创建

监控新增的登录行为。

登录会话元数据

异常登录行为监控,包括:异常账号、异常时间、异常地点等登录异常。

DS0002

用户账户

用户账户身份验证

监控用户帐户凭据。

四、总结

本期主要介绍了持久化战术(三),涉及最后7项理论技术,下期将给大家介绍持久化战术(三)理论技术对应的实战研究场景,敬请关注。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/385963.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

汇编语言程序设计(一)

前言 在学习汇编语言之前,我们应该要知道汇编语言他是一门怎么样的语言。汇编语言是直接工作在硬件上的一门编程语言,学习汇编语言之前最好先了解一下计算机硬件系统的结构和工作原理。学习汇编语言的重点是学习如何利用硬件系统的编程结构和指令集进而…

高通平台开发系列讲解(显示篇)Gralloc模块

文章目录 一、什么是Gralloc模块二、Gralloc加载流程三、Gralloc模块的加载四、Gralloc设备的加载五、 fb设备的加载沉淀、分享、成长,让自己和他人都能有所收获!😄 📢本篇将介绍显示过程中Gralloc模块。 一、什么是Gralloc模块 通过加载Gralloc抽象层,可以打开fb设备和…

【游戏逆向】寻路函数隐藏检测点分析

案例: 某游戏出现调用寻路函数失败异常崩溃。 基本情况分析: 在刚登陆游戏的时候直接调用寻路函数崩溃。 手动寻路以后再调用寻路不崩溃。(排除了函数编写错误的可能) 猜测可能检测方法: 有某一个标志位(全局类型)在游戏刚登陆的时候没…

【VS】【Qt】vs+ qt .natvis 失效问题

【VS】【Qt】vs qt .natvis 失效问题 .natvis文件用于调试时候自定义显示自定义类型的可视化提示。 一般这类文件存在 C:\Program Files (x86)\Microsoft Visual Studio\2022\Enterprise\Common7\Packages\Debugger\Visualizers路径下。 .natvis文件的规则在此不介绍&#xf…

剑指 Offer 23 链表中环的入口结点

摘要 链表中环的入口结点_牛客题霸_牛客网 剑指 Offer II 022. 链表中环的入口节点 141. 环形链表 142. 环形链表 II 一、是否有环(快慢指针) 我们可以根据上述思路来解决本题。具体地,我们定义两个指针,一快一慢。慢指针每次…

了解Cesium的笛卡尔类型和位置变量的单位

var position Cesium.Cartesian3.fromDegrees(100, 100, 2); 前文输出了position变量,是一个六位数,还带有多位小数;下面来看一下相关类的定义和position的单位;单位如果不对的话放置的模型可能到屏幕外面; 看一下相…

太赫兹频段耦合器设计相关经验总结

1拿到耦合器的频段后,确定中心频率和波导的宽度和高度 此处贴一张不同频段对应的波导尺寸图 需要注意的是1英寸 2.54厘米,需注意换算 具体网址:矩形波导尺寸 | 扩维 (qualwave.com) 仅列举我比较常用的太赫兹频段部分 2.以220~320GHz频段&a…

《后疫情时代大众行为及情感变化研究报告》|人们的饮食、工作、运动、社交、娱乐、学习、购物有哪些改变?

疫情三年,改变了很多人的生命轨迹。有人长期居家,宅出了一身的厨艺;有人启动线上模式,习惯了居家办公;有人失去了工作,生活一度陷入困境;有人痛定思痛,准备换个城市换个活法。 个体…

项目管理工具dhtmlxGantt甘特图入门教程(十六):数据序列转化为XML和JSON

这篇文章给大家讲解dhtmlxGantt将数据转化为XML何JSON格式。 dhtmlxGantt是用于跨浏览器和跨平台应用程序的功能齐全的Gantt图表,可满足应用程序的所有需求,是完善的甘特图图表库 DhtmlxGantt正版试用下载(qun:764148812&#…

提取DWI数据的FA和MD

DWI简介 扩散加权磁共振成像(DWI )是使用特定的 MRI 序列以所获得的脑成像数据,该成像手段依靠水分子的扩散在 MR 图像中产生对比度。优于组织中的分子扩散不是自由的,而是反映了与许多障碍物(例如大分子,纤…

福特FORD EDI流程指南

在此前的文章:福特FORD EDI需求分析中,我们为大家介绍了福特FORD的EDI平台——GEC Hub。与福特FORD建立EDI连接需要基于这个平台来进行。 供应商通过GEC Hub与福特建立EDI连接,需要做如下准备: 1.获得GSDB代码以及供应商代码 2.在…

是不是只能学IT互联网技术才有发展前途?

当然不是,三百六十行,行行出状元。 但我们需要认清一个现实是,我们正处于一个信息爆炸的时代,掌握紧跟潮流的技术,才可以让我们更自信地面对每天的生活,才有多余的精力、财力来享受生活。“人生在世&#…

华为机试题:HJ99 自守数(python)

文章目录(1)题目描述(2)Python3实现(3)知识点详解1、input():获取控制台(任意形式)的输入。输出均为字符串类型。1.1、input() 与 list(input()) 的区别、及其相互转换方…

十八、本地方法栈的理解

本地方法栈(Native Method Stack) 1.Java虚拟机栈用于管理Java方法的调用,而本地方法栈用于管理本地方法的调用。 2.本地方法栈,也是线程私有的。 3.允许被实现成固定或者是可动态扩展的内存大小。(在内存溢出方面是相同的) 1)如果线程请求分…

深圳大学计软《面向对象的程序设计》实验8 静态与友元

A. 旅馆旅客管理(静态成员) 题目描述 编写程序,实现某旅馆的客人住宿记录功能。 定义一个Customer类,要求输入客人的姓名,创建一个Customer对象。类声明如下: 调用类的Display函数输出客人ID&#xff…

1_机器学习概述—全流程

文章目录1 机器学习定义2 机器学习常见应用框架(重点)3 机器学习分类3.1 监督学习(Supervised learning)3.2 无监督学习(Unsupervised learning)3.3 半监督学习(Semi-Supervised Learning&#…

每年来一次的系统重装和磁盘整理(备忘步骤)

前言 电脑用了一段时间,要么C盘炸裂,要么你无意更新CPU炸裂,你所遇到的各种问题,没有什么事重装解决不了的。 思路 首先,重要的东西都转存C盘之外的盘,重要的是养成习惯。我C盘基本没重要的东西&#xf…

redis数据结构的适用场景分析

1、String 类型的内存空间消耗问题,以及选择节省内存开销的数据类型的解决方案。 为什么 String 类型内存开销大? 图片 ID 和图片存储对象 ID 都是 10 位数,我们可以用两个 8 字节的 Long 类型表示这两个 ID。因为 8 字节的 Long 类型最大可以…

云HIS系统源码 医院his源码 云his源码

大型医院his系统源码 SaaS运维平台多医院入驻强大的电子病历完整文档 ,有演示 一、系统概述: 基层卫生健康云是一款满足基层医疗机构各类业务需要的健康云产品。该产品能帮助基层医疗机构完成日常各类业务,提供病患挂号支持、病患问诊、电子…

【Linux学习】菜鸟入门——gcc与g++简要使用

一、gcc/g gcc/g是编译器,gcc是GCC(GUN Compiler Collection,GUN编译器集合)中的C编译器;g是GCC中的C编译器。使用g编译文件时会自动链接STL标准库,而gcc不会自动链接STL标准库。下面简单介绍一下Linux环境下(Windows差…