<noframes id="vfxvr">

    <track id="vfxvr"></track>

      <span id="vfxvr"></span>

          ATT&CK-CN V1.01 Last Update: 2019-11 [返回索引頁]

          譯者: 林妙倩(清華大學網絡研究院網絡空間安全實習生)、戴亦侖(賽寧網安) 原創翻譯作品,如果需要轉載請取得翻譯作者同意。

          數據來源:ATT&CK Matrices

          原文: https://attack.mitre.org/techniques/T1053

          術語表: /attack/glossary

          計劃任務

          諸如 at 和 schtasks 之類的實用程序以及 Windows 任務計劃程序可以安排在指定日期和時間執行的程序或腳本。 還可以在遠程系統上計劃任務,前提是有正確身份驗證以使用 RPC,并且已開啟文件和打印機共享。 通常遠程系統上 Administrators 組的成員才能在遠程系統上計劃任務。

          攻擊者可以使用任務計劃來在系統啟動時,或在計劃的基礎上執行程序以實現持久化,作為橫向移動的一部分執行遠程任務,獲得 SYSTEM 權限,或者在指定帳戶的上下文下運行進程。

          緩解

          限制用戶帳戶的權限并修復提權向量,只有授權管理員才能在遠程系統上創建計劃任務。 像 PowerSploit 框架之類的工具包具有 PowerUp 模塊,可以使用該模塊研究計劃任務中可用于提升特權的權限缺陷。

          配置計劃任務以強制其在經過身份驗證的帳戶上下文中運行,而不是允許其作為 SYSTEM 運行。 相關的注冊表項位于 HKLM。 可通過 GPO 進行配置: 計算機配置>[策略]> Windows 設置>安全設置>本地策略>安全選項: 域控制器: 設置 [允許服務器操作員計劃任務] 為禁用。

          配置“Increase Scheduling Priority”選項,僅允許管理員組安排優先級進程的權限。 這可以通過 GPO 配置: 計算機配置>[策略]> Windows 設置>安全設置>本地策略>用戶權限分配: 增加計劃優先級。

          使用白名單 工具(如 AppLocker、 或軟件限制策略 ) 識別并攔截可用于計劃任務的不必要的系統實用程序或潛在的惡意軟件。

          檢測

          監控常見實用程序通過命令行調用創建的計劃任務。 在安裝新軟件期間或通過系統管理功能可以創建合法的計劃任務。 監控 Windows 10 中 svchost.exe 和 Windows 舊版本中 Windows 任務計劃程序 taskeng.exe 的進程執行。 如果計劃任務不是用于持久化,那么攻擊者很可能在操作結束時刪除任務。 監視%systemroot%\System32\Tasks 下的 Windows 任務計劃程序,查看是否有與已知軟件,補丁周期等無關的計劃任務相關的更改條目。不應孤立地看待數據和事件,而應將其視為可能導致其他活動的行為鏈的一部分,例如用于命令與控制的網絡連接、通過披露了解環境細節以及橫向移動。 通過在事件日志服務中啟用“Microsoft-Windows-TaskScheduler/Operational”,為計劃任務的創建和更改配置事件日志。 然后在計劃任務活動中會記錄幾個事件,包括:

          • 事件 ID 106 -計劃任務注冊

          • 事件 ID 140 -計劃任務更新

          • 事件 ID 141 -計劃任務刪除

          諸如 Sysinternals Autoruns 等工具也可用于檢測可能嘗試持久化的系統更改,包括列出當前計劃任務。 查找與已知軟件、補丁周期等無關的任務更改。當以前與歷史數據進行比較時,通過計劃任務執行的可疑程序可能會顯示為未見過的異常進程。 監視可以創建任務的進程和命令行參數的操作。 具有內置功能的遠程訪問工具可以直接與 Windows API 交互,以在典型的系統實用程序外執行這些功能。 還可以通過 Windows 系統管理工具(如 Windows 管理規范和 PowerShell) 創建任務,因此可能需要配置額外的日志以收集適當的數據。

          欧美日韩国产亚洲,天天射影院,大芭蕉天天视频在线观看,欧美肥老太牲交大片,奇米色888,黄三级高清在线播放,国产卡一卡二卡三卡四,亚洲第一黄色视频 日韩中文字幕中文有码,日本A级作爱片一,奇米第四,三级片短片视频免费在线观看,奇米网狠狠网,影音先锋色AV男人资源网,日本丰满熟妇hd 日本日韩中文字幕无区码,涩 色 爱 性,天天射影视,中文字幕制服丝袜第57页,777米奇影院奇米网狠狠,尤物TV国产精品看片在线,欧洲女同牲恋牲交视频 久久AV天堂日日综合,亚洲性爱影院色yeye,日韩亚洲欧美Av精品,十八禁全身裸露全彩漫画,奇米网影视,人人爽人人澡人人人妻,动漫AV专区,天天色综合影院 日韩精品中文字幕,特级无码毛片免费视频,人妻少妇不卡无码视频,制服丝袜有码中文字幕在线,深爱激动情网婷婷,影音先锋全部色先锋,香港三级日本三级韩级人妇 日韩欧美亚洲综合久久在线视频,2021XX性影院,玖玖资源站最稳定网址,日韩亚洲制服丝袜中文字幕,国产超碰人人模人人爽人人喊,先锋色熟女丝袜资源 很黄特别刺激又免费的视频,2021一本久道在线线观看,色中娱乐黄色大片,日本高清不卡在线观看播放,97国产自在现线免费视频,国产在线精品亚洲第一区 免费中文字幕精品一区二区 视频,狠狠爱俺也色,天天好逼网,日韩制服丝袜,国产女人大象蕉视频在线观看,国产 精品 自在 线免费,午夜时刻在线观看