ATT&CK v12版本战术介绍——防御规避(三)
💡
原文中文,约12500字,阅读约需30分钟。
📝
内容提要
本文介绍了ATT&CK中的防御规避战术技术,包括隐藏行为、隐藏文件和目录、隐藏用户、隐藏窗口、NTFS文件属性、隐藏文件系统、运行虚拟实例、VBA stomping、邮件隐藏规则、资源分支、进程参数欺骗等。同时,还介绍了削弱防御机制、删除主机中的信标、间接执行命令、仿冒等技术。这些技术可以帮助攻击者规避防御措施,隐藏其活动痕迹。为了检测这些技术,可以监控命令执行、文件修改、进程创建等数据源,并采取相应的缓解措施,如限制文件和目录权限、执行预防措施等。
🎯
关键要点
- 介绍了ATT&CK中的防御规避战术技术,包括隐藏行为、隐藏文件和目录等。
- 防御规避战术包括42种技术,本期介绍第13-18种技术。
- 隐藏行为技术包含10项子技术,如隐藏文件和目录、隐藏用户等。
- 攻击者利用隐藏行为来逃避检测,创建与安全检测相隔离的计算区域。
- 执行流程劫持技术包含12项子技术,攻击者通过劫持操作系统运行程序来执行恶意代码。
- 削弱防御机制技术包含9项子技术,攻击者可能会禁用安全工具或修改系统防火墙。
- 删除主机中的信标技术包含9项子技术,攻击者通过清除日志和删除文件来隐藏活动。
- 间接执行命令技术允许攻击者利用程序绕过命令行解释器的安全策略。
- 仿冒技术包含7项子技术,攻击者通过操纵对象名称或位置来逃避防御。
- 总结了防御规避战术及其技术原理,后续将介绍更多相关内容。
➡️
