<noframes id="vfxvr">

    <track id="vfxvr"></track>

      <span id="vfxvr"></span>

          ATT&CK-CN V1.01 Last Update: 2019-11 [返回索引頁]

          譯者: 林妙倩(清華大學網絡研究院網絡空間安全實習生)、戴亦侖(賽寧網安) 原創翻譯作品,如果需要轉載請取得翻譯作者同意。

          數據來源:ATT&CK Matrices

          原文: https://attack.mitre.org/techniques/T1127

          術語表: /attack/glossary

          受信任的開發人員工具

          有許多用于軟件開發相關工作的實用程序可以用來以多種形式執行代碼,以幫助開發、調試和逆向工程。 這些實用程序通常具有合法證書的簽名,這些證書使它們可以在系統上執行,并通過可以有效地繞過應用程序白名單防御解決方案的可信進程來代理執行惡意代碼。

          MSBuild

          MSBuild.exe (Microsoft Build Engine) 是 Visual Studio 使用的軟件構建平臺。 它使用 XML 格式的項目文件,這些文件定義了構建各種平臺和配置的需求。

          攻擊者可以使用 MSBuild 通過受信的 Windows 實用程序代理代碼的執行。 .NET 版本 4 中引入的 MSBuild 的內聯任務功能允許將 c#代碼插入到 XML 項目文件中。 內聯任務 MSBuild 將編譯并執行內聯任務。 MSBuild.exe 是由 Microsoft 簽名的二進制文件,因此當以這種方式使用它時,可以執行任意代碼并繞過配置為允許 MSBuild.exe 的應用程序白名單防御。

          DNX

          .NET 執行環境 (DNX), DNX.exe 是隨 Visual Studio Enterprise 打包的軟件開發工具包。 它在 2016 年被淘汰,取而代之的是。NET Core CLI 。 DNX 不存在于 Windows 的標準版本中,并且可能只存在于使用舊版。NET Core 和 ASP.NET Core 1.0 的開發人員工作站上。 可執行文件 dnx.exe 由 Microsoft 簽名。 攻擊者可以使用 DNX. exe 代理執行任意代碼,以繞過允許 DNX 執行的應用程序白名單策略。

          RCSI Rcsi.exe 實用程序是用于 c#的非交互式命令行接口,類似于 csi.exe。 Roslyn.net 編譯器平臺的早期版本提供 Rcsi.exe,但是在集成解決方案中棄用了。 rcsi.exe 由 Microsoft 簽名。

          在命令行上使用 rcsi.exe 編寫和執行 c# .csx 腳本文件。 攻擊者可以使用 rcsi.exe 來代理執行任意代碼,從而繞過允許 rcsi.exe 執行的應用程序白名單策略。

          WinDbg /CDB

          WinDbg 是一個 Microsoft Windows 內核和用戶模式調試工具。Microsoft Console Debugger (CDB) cdb.exe 也是用戶模式調試器。 這兩個實用程序都在 Windows 軟件開發工具包中,可以作為獨立的工具使用。它們通常用于軟件開發和逆向工程,在典型的 Windows 系統中可能找不到。 WinDbg.exe 和 cdb.exe 都是由 Microsoft 簽名的。攻擊者可以使用 WinDbg.exe 和 cdb.exe 來代理任意代碼的執行,從而繞過允許這些實用程序執行的應用程序白名單策略。

          其他調試器也可以用于類似的目的,比如內核模式調試器 kd.exe,它也由 Microsoft 簽名。

          Tracker

          文件跟蹤器 tracker.exe,作為 MSBuild 的一部分包含在。NET 框架中。它用于記錄對 Windows 文件系統的調用。

          攻擊者可以利用 tracker.exe 將任意 DLL 的執行代理到其他進程中。 tracker.exe 也具有簽名,因此可以使用它來繞過應用程序白名單解決方案。

          緩解

          在給定的環境中可能不需要 MSBuild.exe, dnx.exe, rcsi.exe, WinDbg.exe, cdb.exe, 以及 tracker.exe,如果不使用,應該刪除它們。 如果給定的系統或網絡不需要,配置應用程序白名單來攔截 MSBuild.exe,dnx.exe,rcsi.exe,WinDbg.exe 和 cdb.exe 的執行,以防止攻擊者潛在濫用。

          檢測

          這些或其他啟用代理執行的實用程序通常用于系統上的開發、調試和逆向工程,如果沒有用于這些目的,則可能是可疑的。 使用進程監視來監視 MSBuild.exe,dnx.exe,rcsi.exe,WinDbg.exe,cdb.exe 和 tracker.exe 的執行和參數。 將這些二進制文件的最近調用與之前已知良好參數的調用和已執行的二進制文件進行比較,以確定異常和潛在的攻擊活動。 軟件開發人員一般會在其他與軟件開發相關的任務中使用這些實用程序,因此,如果存在這些實用程序并且在任務上下文之外使用,則事件可能是可疑的。 在調用這些實用程序前后使用的命令參數也可用于確定正在執行的二進制文件的來源和目的。

          欧美日韩国产亚洲,天天射影院,大芭蕉天天视频在线观看,欧美肥老太牲交大片,奇米色888,黄三级高清在线播放,国产卡一卡二卡三卡四,亚洲第一黄色视频 日韩中文字幕中文有码,日本A级作爱片一,奇米第四,三级片短片视频免费在线观看,奇米网狠狠网,影音先锋色AV男人资源网,日本丰满熟妇hd 日本日韩中文字幕无区码,涩 色 爱 性,天天射影视,中文字幕制服丝袜第57页,777米奇影院奇米网狠狠,尤物TV国产精品看片在线,欧洲女同牲恋牲交视频 久久AV天堂日日综合,亚洲性爱影院色yeye,日韩亚洲欧美Av精品,十八禁全身裸露全彩漫画,奇米网影视,人人爽人人澡人人人妻,动漫AV专区,天天色综合影院 日韩精品中文字幕,特级无码毛片免费视频,人妻少妇不卡无码视频,制服丝袜有码中文字幕在线,深爱激动情网婷婷,影音先锋全部色先锋,香港三级日本三级韩级人妇 日韩欧美亚洲综合久久在线视频,2021XX性影院,玖玖资源站最稳定网址,日韩亚洲制服丝袜中文字幕,国产超碰人人模人人爽人人喊,先锋色熟女丝袜资源 很黄特别刺激又免费的视频,2021一本久道在线线观看,色中娱乐黄色大片,日本高清不卡在线观看播放,97国产自在现线免费视频,国产在线精品亚洲第一区 免费中文字幕精品一区二区 视频,狠狠爱俺也色,天天好逼网,日韩制服丝袜,国产女人大象蕉视频在线观看,国产 精品 自在 线免费,午夜时刻在线观看