ATT&CK v12版本战术介绍——提权(一)
💡
原文中文,约9500字,阅读约需23分钟。
📝
内容提要
MITRE ATT&CK v12是一个全球可访问的基于现实世界观察的对手战术和技术知识库,本期介绍了14种提权技术,包括提升控制权限机制、绕过用户帐户控制、Sudo和Sudo缓存、带提示的提权执行、注册表运行键/启动文件夹、认证包、时间提供程序、Winlogon帮助程序DLL、安全支持提供程序、内核模块和扩展、重新开启申请、LSASS驱动程序、快捷键修改、端口监视器、打印处理器、XDG自启动和ActiveSetup等,检测方法包括监控已执行的命令和参数、文件系统中设置了setuid或setgid位的文件、/etc/sudoers文件中的LOG_INPUT和LOG_OUTPUT指令记录所有输入和输出。
🎯
关键要点
- MITRE ATT&CK v12是一个全球可访问的对手战术和技术知识库。
- 本期介绍了14种提权技术,包括提升控制权限机制、绕过用户帐户控制等。
- 提权战术包括13种技术,本期介绍前6种技术。
- 攻击者利用提升控制权限机制以获得更高级别的权限。
- 绕过用户帐户控制(UAC)允许程序提升其权限。
- 攻击者可以通过修改访问令牌来绕过访问控制。
- 攻击者可以利用自动启动执行登录来保持持久性。
- 攻击者可以创建或修改系统级进程以重复执行恶意攻击。
- 攻击者可以修改域的配置以升级特权。
- 本期主要介绍了提权战术(一)及技术/子技术原理,后续将介绍提权战术(二)。
🏷️
标签
➡️
