<noframes id="vfxvr">

    <track id="vfxvr"></track>

      <span id="vfxvr"></span>

          ATT&CK-CN V1.01 Last Update: 2019-11 [返回索引頁]

          譯者: 林妙倩(清華大學網絡研究院網絡空間安全實習生)、戴亦侖(賽寧網安) 原創翻譯作品,如果需要轉載請取得翻譯作者同意。

          數據來源:ATT&CK Matrices

          原文: https://attack.mitre.org/techniques/T1504

          術語表: /attack/glossary

          PowerShell配置文件

          在某些情況下,攻擊者可以通過濫用PowerShell(T1086)配置文件來獲得持久性和提升特權。PowerShell配置文件(profile.ps1)是一個在PowerShell啟動時運行的腳本,可以用作登錄腳本來自定義用戶環境。PowerShell根據用戶或主機程序支持多個配置文件。例如,PowerShell主機程序(例如PowerShell控制臺,PowerShell ISE或Visual Studio Code)可以有不同的配置文件。管理員還可以配置一個配置文件,該配置文件適用于本地計算機上的所有用戶和主機程序。

          攻擊者可能會修改這些配置文件,以包括任意命令,功能,模塊和/或PowerShell驅動器來獲得持久性。每次用戶打開PowerShell會話時,除非啟動該-NoProfile標志,否則將執行修改后的腳本。

          如果PowerShell概要文件中的腳本由具有較高特權的帳戶(例如域管理員)加載并執行,則對手也可能能夠提升特權。

          標簽

          ID編號: T1504

          策略: 持久性,特權升級

          平臺: Windows

          所需權限: user,administrator

          數據源: 進程監視,文件監視,PowerShell日志

          程序示例

          名稱 描述
          Turla(G0010 Turla(G0010)使用PowerShell配置文件來維護受感染計算機的持久性。
          Name Description
          Turla(G0010 Turla(G0010) has used PowerShell profiles to maintain persistence on an infected machine.[2]

          緩解措施

          緩解 描述
          代碼簽名(M1045) 強制執行僅簽名的PowerShell腳本。對配置文件進行簽名,以免對其進行修改。
          限制文件和目錄權限(M1022) 使PowerShell配置文件不可變且只能由某些管理員更改將限制對手輕松創建用戶級持久性的能力。
          軟件配置(M1054) 如果不需要,請避免使用PowerShell配置文件。-No Profile遠程執行PowerShell腳本時,請使用帶有標志,以防止執行本地配置文件和腳本。
          Mitigation Description
          Code Signing (M1045) Enforce execution of only signed PowerShell scripts. Sign profiles to avoid them from being modified.
          Restrict File and Directory Permissions (M1022) Making PowerShell profiles immutable and only changeable by certain administrators will limit the ability for adversaries to easily create user level persistence.
          Software Configuration (M1054) Avoid PowerShell profiles if not needed. Use the -No Profile flag with when executing PowerShell scripts remotely to prevent local profiles and scripts from being executed.

          檢測

          profile.ps1應該監視可以存儲的位置是否有新的配置文件或修改。配置文件位置示例包括:

          • $PsHome\Profile.ps1
          • $PsHome\Microsoft._profile.ps1
          • $Home\My Documents\PowerShell\Profile.ps1
          • $Home\My Documents\PowerShell\Microsoft._profile.ps1

          監視異常的PowerShell命令,異常的PowerShell驅動器或模塊加載和/或未知程序的執行。

          Locations where profile.ps1 can be stored should be monitored for new profiles or modifications. Example profile locations include:

          • $PsHome\Profile.ps1
          • $PsHome\Microsoft._profile.ps1
          • $Home\My Documents\PowerShell\Profile.ps1
          • $Home\My Documents\PowerShell\Microsoft._profile.ps1

          Monitor abnormal PowerShell commands, unusual loading of PowerShell drives or modules, and/or execution of unknown programs.

          欧美日韩国产亚洲,天天射影院,大芭蕉天天视频在线观看,欧美肥老太牲交大片,奇米色888,黄三级高清在线播放,国产卡一卡二卡三卡四,亚洲第一黄色视频 日韩中文字幕中文有码,日本A级作爱片一,奇米第四,三级片短片视频免费在线观看,奇米网狠狠网,影音先锋色AV男人资源网,日本丰满熟妇hd 日本日韩中文字幕无区码,涩 色 爱 性,天天射影视,中文字幕制服丝袜第57页,777米奇影院奇米网狠狠,尤物TV国产精品看片在线,欧洲女同牲恋牲交视频 久久AV天堂日日综合,亚洲性爱影院色yeye,日韩亚洲欧美Av精品,十八禁全身裸露全彩漫画,奇米网影视,人人爽人人澡人人人妻,动漫AV专区,天天色综合影院 日韩精品中文字幕,特级无码毛片免费视频,人妻少妇不卡无码视频,制服丝袜有码中文字幕在线,深爱激动情网婷婷,影音先锋全部色先锋,香港三级日本三级韩级人妇 日韩欧美亚洲综合久久在线视频,2021XX性影院,玖玖资源站最稳定网址,日韩亚洲制服丝袜中文字幕,国产超碰人人模人人爽人人喊,先锋色熟女丝袜资源 很黄特别刺激又免费的视频,2021一本久道在线线观看,色中娱乐黄色大片,日本高清不卡在线观看播放,97国产自在现线免费视频,国产在线精品亚洲第一区 免费中文字幕精品一区二区 视频,狠狠爱俺也色,天天好逼网,日韩制服丝袜,国产女人大象蕉视频在线观看,国产 精品 自在 线免费,午夜时刻在线观看