<noframes id="vfxvr">

    <track id="vfxvr"></track>

      <span id="vfxvr"></span>

          ATT&CK-CN V1.01 Last Update: 2019-11 [返回索引頁]

          譯者: 林妙倩(清華大學網絡研究院網絡空間安全實習生)、戴亦侖(賽寧網安) 原創翻譯作品,如果需要轉載請取得翻譯作者同意。

          數據來源:ATT&CK Matrices

          原文: https://attack.mitre.org/techniques/T1161

          術語表: /attack/glossary

          添加LC_LOAD_DYLIB

          Mach-O二進制文件具有一系列標頭,這些標頭用于在加載二進制文件時執行某些操作。Mach-O二進制文件中的LC_LOAD_DYLIB標頭告訴macOS和OS X在執行期間要加載哪些動態庫(dylib)。這些可以自組織只要調整到的字段和依賴性的其余部分由被添加到已編譯的二進制 。有一些工具可以執行這些更改。任何更改都會使二進制文件上的數字簽名無效,因為正在修改二進制文件。攻擊者可以通過簡單地從二進制文件中刪除LC_CODE_SIGNATURE命令來補救此問題,以便在加載時不檢查簽名。

          Mach-O binaries have a series of headers that are used to perform certain operations when a binary is loaded. The LC_LOAD_DYLIB header in a Mach-O binary tells macOS and OS X which dynamic libraries (dylibs) to load during execution time. These can be added ad-hoc to the compiled binary as long adjustments are made to the rest of the fields and dependencies [1]. There are tools available to perform these changes. Any changes will invalidate digital signatures on binaries because the binary is being modified. Adversaries can remediate this issue by simply removing the LC_CODE_SIGNATURE command from the binary so that the signature isn’t checked at load time

          標簽

          ID編號: T1161

          策略: 持久性

          平臺: macOS

          所需權限: user

          數據源: 二進制文件元數據,進程監視,進程命令行參數,文件監視

          緩解措施

          緩解 描述
          審計 (M1047) 還可以將二進制文件作為其所需的動態庫的基準,如果應用程序需要一個未包含在更新中的新動態庫,則應進行調查。
          代碼簽名 (M1045) 強制所有二進制文件由正確的Apple Developer ID簽名。
          執行預防 (M1038) 通過已知哈希將應用列入白名單。
          Mitigation Description
          Audit (M1047) Binaries can also be baselined for what dynamic libraries they require, and if an app requires a new dynamic library that wasn\u2019t included as part of an update, it should be investigated.
          Code Signing (M1045) Enforce that all binaries be signed by the correct Apple Developer IDs.
          Execution Prevention (M1038) Whitelist applications via known hashes.

          檢測

          監視進程以發現可能用于修改二進制頭的進程。監視文件系統,以了解對應用程序二進制文件的更改以及無效的校驗和/簽名。與應用程序更新或補丁不匹配的二進制文件更改也非??梢?。

          Monitor processes for those that may be used to modify binary headers. Monitor file systems for changes to application binaries and invalid checksums/signatures. Changes to binaries that do not line up with application updates or patches are also extremely suspicious.

          欧美日韩国产亚洲,天天射影院,大芭蕉天天视频在线观看,欧美肥老太牲交大片,奇米色888,黄三级高清在线播放,国产卡一卡二卡三卡四,亚洲第一黄色视频 日韩中文字幕中文有码,日本A级作爱片一,奇米第四,三级片短片视频免费在线观看,奇米网狠狠网,影音先锋色AV男人资源网,日本丰满熟妇hd 日本日韩中文字幕无区码,涩 色 爱 性,天天射影视,中文字幕制服丝袜第57页,777米奇影院奇米网狠狠,尤物TV国产精品看片在线,欧洲女同牲恋牲交视频 久久AV天堂日日综合,亚洲性爱影院色yeye,日韩亚洲欧美Av精品,十八禁全身裸露全彩漫画,奇米网影视,人人爽人人澡人人人妻,动漫AV专区,天天色综合影院 日韩精品中文字幕,特级无码毛片免费视频,人妻少妇不卡无码视频,制服丝袜有码中文字幕在线,深爱激动情网婷婷,影音先锋全部色先锋,香港三级日本三级韩级人妇 日韩欧美亚洲综合久久在线视频,2021XX性影院,玖玖资源站最稳定网址,日韩亚洲制服丝袜中文字幕,国产超碰人人模人人爽人人喊,先锋色熟女丝袜资源 很黄特别刺激又免费的视频,2021一本久道在线线观看,色中娱乐黄色大片,日本高清不卡在线观看播放,97国产自在现线免费视频,国产在线精品亚洲第一区 免费中文字幕精品一区二区 视频,狠狠爱俺也色,天天好逼网,日韩制服丝袜,国产女人大象蕉视频在线观看,国产 精品 自在 线免费,午夜时刻在线观看