<noframes id="vfxvr">

    <track id="vfxvr"></track>

      <span id="vfxvr"></span>

          ATT&CK-CN V1.01 Last Update: 2019-11 [返回索引頁]

          譯者: 林妙倩(清華大學網絡研究院網絡空間安全實習生)、戴亦侖(賽寧網安) 原創翻譯作品,如果需要轉載請取得翻譯作者同意。

          數據來源:ATT&CK Matrices

          原文: https://attack.mitre.org/techniques/T1044

          術語表: /attack/glossary

          文件系統權限缺陷

          進程可以自動執行特定二進制文件作為其功能的一部分,或執行其他操作。如果對包含目標二進制文件的文件系統目錄的權限或對二進制文件本身的權限設置不正確,則目標二進制文件可能會被另一個使用用戶級權限的二進制文件覆蓋并由原始進程執行。如果原始進程和線程在更高的權限級別下運行,則替換的二進制文件也將在更高級別的權限下執行,其中可能包括 SYSTEM。 攻擊者可以使用此技術將合法二進制文件替換為惡意二進制文件,作為在更高權限級別執行代碼的方法。如果將進程設置為在特定時間或某個特定事件(例如,系統啟動)期間運行,則該技術也可用于持久化。

          服務

          操作 Windows 服務二進制文件是此技術的一種變體。攻擊者可以用自己的可執行文件替換合法的服務可執行文件,以獲得持久性和/或提權到服務運行所需的帳戶上下文。(本地/域帳戶,SYSTEM,LocalService 或 NetworkService)一旦服務被啟動,不管由用戶直接啟動(如果有合適的訪問)或通過其他方式,例如系統重啟時啟動服務,都將運行替換的可執行文件,而不是原來的可執行服務。

          可執行的安裝程序

          這種技術的另一種變體利用可執行的自解壓安裝程序的常見缺陷。在安裝過程中,安裝程序通常使用%TEMP%目錄下的子目錄來解壓縮二進制文件,例如 DLL,EXE 或其他有效載荷。當安裝程序創建子目錄和文件時,通常沒有設置適當的權限來限制寫入,這使子目錄中的不受信代碼得以執行或安裝時使用的二進制文件被覆蓋。這種行為可以利用 DLL 搜索順序劫持。一些安裝程序可能需要更高的權限,這將導致執行攻擊者控制的代碼時被提權。該行為與繞過用戶帳戶控制有關。一些存在該缺陷的現有通用安裝程序的例子已經報告給軟件供應商。

          緩解

          使用能夠檢測企業系統中文件系統權限濫用缺陷的審計工具并進行更正。限制用戶帳戶和組的權限,以便只有授權的管理員才能與服務更改和服務二進制目標路徑位置進行交互。像 PowerSploit 框架這樣的工具包包含 PowerUp 模塊,可以使用這些模塊查找系統中的服務文件系統權限缺陷。 使用能夠審核和/或攔截未知程序的白名單工具,如 AppLocker,識別并攔截可能通過濫用文件,目錄和服務權限執行的潛在惡意軟件。拒絕從用戶目錄執行,例如文件下載目錄和臨時目錄。 關閉 UAC 的標準用戶的提權 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]自動拒絕提權請求,添加:"ConsentPromptBehaviorUser"=dword:00000000 [2]. "考慮通過添加以下內容為所有用戶啟用安裝程序檢測:"EnableInstallerDetection"=dword:00000001. 。這將提示用戶輸入安裝密碼并記錄。要禁用安裝程序檢測,改為: "EnableInstallerDetection"= dword:00000000。這可以防止通過漏洞利用在 UAC 檢測安裝程序的過程中潛在地提升權限,但將允許安裝過程在不被記錄的情況下繼續。

          檢測

          查找通常在軟件更新期間可能發生的對二進制文件和服務可執行文件的更改。如果編寫、重命名和/或移動可執行文件以匹配現有的服務可執行文件,則可以檢測到該可執行文件并將其與其他可疑行為相關聯。二進制文件和服務可執行文件的散列可用于檢測歷史數據的替換。 從典型進程和服務中查找異常流程調用樹,并查找可能與發現(Discovery)或其他攻擊技術相關的其他命令的執行。

          欧美日韩国产亚洲,天天射影院,大芭蕉天天视频在线观看,欧美肥老太牲交大片,奇米色888,黄三级高清在线播放,国产卡一卡二卡三卡四,亚洲第一黄色视频 日韩中文字幕中文有码,日本A级作爱片一,奇米第四,三级片短片视频免费在线观看,奇米网狠狠网,影音先锋色AV男人资源网,日本丰满熟妇hd 日本日韩中文字幕无区码,涩 色 爱 性,天天射影视,中文字幕制服丝袜第57页,777米奇影院奇米网狠狠,尤物TV国产精品看片在线,欧洲女同牲恋牲交视频 久久AV天堂日日综合,亚洲性爱影院色yeye,日韩亚洲欧美Av精品,十八禁全身裸露全彩漫画,奇米网影视,人人爽人人澡人人人妻,动漫AV专区,天天色综合影院 日韩精品中文字幕,特级无码毛片免费视频,人妻少妇不卡无码视频,制服丝袜有码中文字幕在线,深爱激动情网婷婷,影音先锋全部色先锋,香港三级日本三级韩级人妇 日韩欧美亚洲综合久久在线视频,2021XX性影院,玖玖资源站最稳定网址,日韩亚洲制服丝袜中文字幕,国产超碰人人模人人爽人人喊,先锋色熟女丝袜资源 很黄特别刺激又免费的视频,2021一本久道在线线观看,色中娱乐黄色大片,日本高清不卡在线观看播放,97国产自在现线免费视频,国产在线精品亚洲第一区 免费中文字幕精品一区二区 视频,狠狠爱俺也色,天天好逼网,日韩制服丝袜,国产女人大象蕉视频在线观看,国产 精品 自在 线免费,午夜时刻在线观看