<noframes id="vfxvr">

    <track id="vfxvr"></track>

      <span id="vfxvr"></span>

          ATT&CK-CN V1.01 Last Update: 2019-11 [返回索引頁]

          譯者: 林妙倩(清華大學網絡研究院網絡空間安全實習生)、戴亦侖(賽寧網安) 原創翻譯作品,如果需要轉載請取得翻譯作者同意。

          數據來源:ATT&CK Matrices

          原文: https://attack.mitre.org/techniques/T1196

          術語表: /attack/glossary

          控制面板項

          Windows 控制面板項是允許用戶查看和調整計算機設置的實用程序。 控制面板項是已注冊的可執行文件 (.exe) 或控制面板文件 (.cpl),后者實際上被重命名為動態鏈接庫 (.dll) 文件,導出 CPlApplet 函數。 控制面板項可以直接從命令行執行,也可以通過應用程序編程接口 (API) 調用以編程方式執行,或者只需雙擊文件即可。

          為了便于使用,控制面板項在完成注冊并加載到控制面板后,通常包括用戶可用的圖形菜單。

          攻擊者可以使用控制面板項作為執行有效載荷來執行任意命令。 惡意控制面板項可以通過以魚叉式釣魚附件 (Spearphishing Attachment ) 的方式 傳遞或作為多級惡意軟件的一部分執行。 控制面板項,特別是 CPL 文件,也可以繞過應用程序和/或文件擴展名白名單。

          緩解

          這種類型的攻擊技術不能簡單通過預防性控制緩解,因為它基于對操作系統設計特性的濫用。 例如,減少特定的 Windows API 調用和/或特定文件擴展名的執行可能會產生意想不到的副作用,例如阻止合法軟件(即驅動程序和配置工具)。 應該集中精力防止攻擊者工具在活動鏈中更早地運行以及識別后續惡意行為。 將控制面板項的存儲和執行限制為受保護的目錄,如 C:\Windows,而不是用戶目錄。 為已知的安全控制面板項建立索引,并使用能夠審計和/或阻止未知的可執行文件的白名單 工具(如 AppLocker) 攔截潛在的惡意軟件。 考慮完全啟用用戶帳戶控制 (UAC),以阻止非法管理員進行系統范圍的更改。

          檢測

          監控和分析與 CPL 文件關聯項的相關活動,例如 Windows 控制面板進程二進制文件 (Control .exe) 以及 shell32.dll 中的 Control_RunDLL 和 ControlRunDLLAsUser API 函數。 當從命令行執行或單擊時,在 Rundll32 調用 CPL 的 API 函數之前(例如:rundll32.exe shell32.dll,Control_RunDLL file.cpl),control.exe 會執行 CPL 文件(例如:control.exe file.cpl)。 CPL 文件可以通過 CPL API 函數直接執行,只需后面使用 Rundll32 命令,該命令可以繞過針對 control.exe 的檢測和/或執行過濾器。

          清單控制面板項,用于查找系統中未注冊和潛在的惡意文件: - 可執行格式的注冊控制面板項將具有全局唯一標識符(GUID)。注冊的注冊表條目在 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ControlPanel\NameSpaceHKEY_CLASSES_ROOT\CLSID{GUID}中。 這些條目可能包含有關控制面板項的信息,如其顯示名稱、本地文件的路徑以及在控制面板中打開時執行的命令。 - 存儲在 System32 目錄中的 以 CPL 格式注冊的控制面板項將自動顯示在控制面板中。 其他控制面板項目將在 CplsHKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Control PanelExtended Properties注冊表項中具有注冊條目。 - 一些條目可能包括諸如 GUID,本地文件的路徑以及用于以編程方式(WinExec("c:\windows\system32\control.exe {Canonical_Name}", SW_NORMAL);)或從命令行(control.exe /name {Canonical_Name})啟動文件的規范名稱等信息。 一些控制面板項可以通過在 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Controls Folder{name}\Shellex\PropertySheetHandlers中注冊的 Shell 擴展來擴展,其中{name}是系統項的預定義名稱。 分析新的控制面板項以及磁盤以查找惡意內容。 可執行文件和 CPL 格式都是兼容的可移植可執行文件 (PE) 映像,可以使用傳統的工具和方法進行檢查,pending 反逆向工程技術。

          欧美日韩国产亚洲,天天射影院,大芭蕉天天视频在线观看,欧美肥老太牲交大片,奇米色888,黄三级高清在线播放,国产卡一卡二卡三卡四,亚洲第一黄色视频 日韩中文字幕中文有码,日本A级作爱片一,奇米第四,三级片短片视频免费在线观看,奇米网狠狠网,影音先锋色AV男人资源网,日本丰满熟妇hd 日本日韩中文字幕无区码,涩 色 爱 性,天天射影视,中文字幕制服丝袜第57页,777米奇影院奇米网狠狠,尤物TV国产精品看片在线,欧洲女同牲恋牲交视频 久久AV天堂日日综合,亚洲性爱影院色yeye,日韩亚洲欧美Av精品,十八禁全身裸露全彩漫画,奇米网影视,人人爽人人澡人人人妻,动漫AV专区,天天色综合影院 日韩精品中文字幕,特级无码毛片免费视频,人妻少妇不卡无码视频,制服丝袜有码中文字幕在线,深爱激动情网婷婷,影音先锋全部色先锋,香港三级日本三级韩级人妇 日韩欧美亚洲综合久久在线视频,2021XX性影院,玖玖资源站最稳定网址,日韩亚洲制服丝袜中文字幕,国产超碰人人模人人爽人人喊,先锋色熟女丝袜资源 很黄特别刺激又免费的视频,2021一本久道在线线观看,色中娱乐黄色大片,日本高清不卡在线观看播放,97国产自在现线免费视频,国产在线精品亚洲第一区 免费中文字幕精品一区二区 视频,狠狠爱俺也色,天天好逼网,日韩制服丝袜,国产女人大象蕉视频在线观看,国产 精品 自在 线免费,午夜时刻在线观看