<noframes id="vfxvr">

    <track id="vfxvr"></track>

      <span id="vfxvr"></span>

          ATT&CK-CN V1.01 Last Update: 2019-11 [返回索引頁]

          譯者: 林妙倩(清華大學網絡研究院網絡空間安全實習生)、戴亦侖(賽寧網安) 原創翻譯作品,如果需要轉載請取得翻譯作者同意。

          數據來源:ATT&CK Matrices

          原文: https://attack.mitre.org/techniques/T1034

          術語表: /attack/glossary

          路徑劫持

          路徑劫持發生在可執行文件被放在特定路徑中,文件由某一應用程序執行而不是預定目標執行時。其中一個例子是在一個有漏洞的應用程序的當前工作目錄中使用 cmd 副本,該應用程序使用 CreateProcess 函數加載 CMD 或 BAT 文件。

          在進行路徑劫持時,攻擊者可以利用多個明顯的缺陷或錯誤配置:未加引號的路徑,配置錯誤的 PATH 環境變量和搜索順序劫持。第一個漏洞有關完整的程序路徑,而未指定程序路徑會導致第二個和第三個漏洞。如果可執行文件是定期被調用的,則可以使用路徑劫持技術進行持久化,如果被攔截的可執行文件由更高權限的進程啟動,則可以利用該技術進行權限提升。

          未加引號的路徑

          如果服務路徑(存儲在 Windows 注冊表項中) 和快捷路徑具有一個或多個空格且未被引號括起(例如,C:\unsafe path with space\program.exe vs. "C:\safe path with space\program.exe"),那么它們容易受到路徑劫持的攻擊,。 攻擊者可以將一個可執行文件放在比原路徑的更高級別目錄中,然后 Windows 將解析該可執行文件而不是預期的可執行文件。例如,如果快捷方式中的路徑是 C:\program files\myapp.exe,攻擊者可以在C:\program.exe目錄下創建程序,那么將被運行的是該程序而不是預期的程序。

          PATH 環境變量配置錯誤

          PATH 環境變量包含一個目錄列表。如果沒有給出程序路徑,某些執行程序的方法(比如使用 cmd.exe 還是命令行)僅依賴于 PATH 環境變量來確定在哪些位置搜索程序。如果有目錄在 PATH 環境變量中位于 Windows 目錄之前,%SystemRoot%\system32(例如C:\Windows\system32)。則可以將與 Windows 程序(例如 cmd,PowerShell 或 Python)名稱相同的程序放在前面的目錄中, 當對應命令在腳本或命令行中被調用時,該程序會被執行。 例如,如果 C:\example path 在 PATH 環境變量中在 C:\Windows\system32 前面,那么當命令行執行“net”時, 位于 C:\example path 的 net.exe 將會被調用,而不是 Windows 系統的 “net”。

          搜索順序劫持

          搜索順序劫持發生在攻擊者濫用 Windows 對于未給出路徑的程序的搜索順序時。執行程序的方法不同,搜索順序也會不同。 但是,Windows 通常在搜索 Windows 系統目錄之前搜索啟動程序目錄。攻擊者如果發現易受搜索順序劫持攻擊的程序(即未指定可執行文件路徑的程序),可以通過創建以 未正確指定的程序命名的程序并將其放在啟動程序的目錄中來利用此漏洞。

          例如,“example.exe”使用命令行參數net user運行“cmd.exe” 。攻擊者可以將名為“net.exe”的程序放在與 example.exe 相同的目錄中,執行“example.exe”時將運行該“net.exe”而不是 Windows 系統實用程序 net。此外,如果攻擊者將名為“net.com”的程序放在與“net.exe”相同的目錄中,根據 PATHEXT 定義的可執行擴展的順序。cmd.exe /C net user將執行“net.com”而不是“net.exe” , 搜索順序劫持也是劫持 DLL 加載的常見做法,這在 DLL 搜索順序劫持中有所涉及。

          緩解

          在函數允許的情況下,用引號將 PATH 變量括起來,以消除程序配置文件、腳本、PATH 環境變量、服務和快捷方式中的路徑攔截缺陷 [ 6 ]。 請注意 Windows 用于執行或加載二進制文件的搜索順序,并在適當的地方使用絕對路徑 [ 12 ]。 卸載軟件時清理舊的 Windows 注冊表項,以避免與合法二進制文件無關的項。 定期搜索并更正或報告系統上的路徑攔截漏洞,這些漏洞可能是使用不安全的路徑配置報告軟件的自定義工具或可用工具引入的。[ 13 ]。 要求將所有可執行文件放在寫保護目錄中。 確保設置了適當的權限和目錄訪問控制,拒絕用戶將文件寫入頂級目錄 C : 和系統目錄,如 C:\Windows\,以減少惡意文件可以放置以獲得執行的位置。 使用能夠審核和/或攔截未知可執行文件的白名單 工具(如 AppLocker 或軟件限制策略,)識別并攔截可能通過路徑攔截執行的潛在惡意軟件。

          檢測

          監視以部分目錄命名的文件的文件創建,以及在可能通過環境變量搜索公共進程的位置下的文件創建,或不允許用戶寫入。 監視以部分目錄命名的進程可執行路徑的執行進程。 監視以 Windows 系統程序命名的程序或通常無需路徑就可以執行的程序(如“findstr”、“net”和“python”) 的文件創建。 如果此活動發生在已知的管理活動、升級、安裝或打補丁之外,則可能是可疑的。 不應孤立地看待數據和事件,而應將其視為可能導致其他活動的行為鏈的一部分,例如用于命令與控制的網絡連接、通過披露了解環境細節以及橫向移動。

          欧美日韩国产亚洲,天天射影院,大芭蕉天天视频在线观看,欧美肥老太牲交大片,奇米色888,黄三级高清在线播放,国产卡一卡二卡三卡四,亚洲第一黄色视频 日韩中文字幕中文有码,日本A级作爱片一,奇米第四,三级片短片视频免费在线观看,奇米网狠狠网,影音先锋色AV男人资源网,日本丰满熟妇hd 日本日韩中文字幕无区码,涩 色 爱 性,天天射影视,中文字幕制服丝袜第57页,777米奇影院奇米网狠狠,尤物TV国产精品看片在线,欧洲女同牲恋牲交视频 久久AV天堂日日综合,亚洲性爱影院色yeye,日韩亚洲欧美Av精品,十八禁全身裸露全彩漫画,奇米网影视,人人爽人人澡人人人妻,动漫AV专区,天天色综合影院 日韩精品中文字幕,特级无码毛片免费视频,人妻少妇不卡无码视频,制服丝袜有码中文字幕在线,深爱激动情网婷婷,影音先锋全部色先锋,香港三级日本三级韩级人妇 日韩欧美亚洲综合久久在线视频,2021XX性影院,玖玖资源站最稳定网址,日韩亚洲制服丝袜中文字幕,国产超碰人人模人人爽人人喊,先锋色熟女丝袜资源 很黄特别刺激又免费的视频,2021一本久道在线线观看,色中娱乐黄色大片,日本高清不卡在线观看播放,97国产自在现线免费视频,国产在线精品亚洲第一区 免费中文字幕精品一区二区 视频,狠狠爱俺也色,天天好逼网,日韩制服丝袜,国产女人大象蕉视频在线观看,国产 精品 自在 线免费,午夜时刻在线观看