为应对NPM供应链攻击，GitHub宣布NPM v12将默认不再自动执行依赖项安装脚本，开发者需手动批准受信任的包。主要变化包括关闭脚本执行和禁止自动解析Git及远程依赖，旨在提高NPM生态系统的安全性，防止恶意载荷自动安装。开发者需根据GitHub指南配置项目。

本文介绍了MITRE ATT&CK v12版本中的防御规避战术，包括42种技术，本期介绍第19-24种技术，涉及HTML Smuggling、动态API解析、剥离有效载荷、嵌入式有效载荷等技术。文章提供了缓解措施和检测方法，建议采取多种缓解措施，如限制注册表权限、提供加密签名、使用多重身份验证等。同时，可以通过监控实例、快照、卷、命令、文件、网络流量等数据源来检测这些攻击。下期将介绍防御规避战术（五）的技术原理。

本文介绍了ATT&CK中的防御规避战术技术，包括隐藏行为、隐藏文件和目录、隐藏用户、隐藏窗口、NTFS文件属性、隐藏文件系统、运行虚拟实例、VBA stomping、邮件隐藏规则、资源分支、进程参数欺骗等。同时，还介绍了削弱防御机制、删除主机中的信标、间接执行命令、仿冒等技术。这些技术可以帮助攻击者规避防御措施，隐藏其活动痕迹。为了检测这些技术，可以监控命令执行、文件修改、进程创建等数据源，并采取相应的缓解措施，如限制文件和目录权限、执行预防措施等。

本期我们为大家介绍ATT&CK 14项战术中提权战术（二），包括提权剩余7项子技术，后续会介绍其他战术。

MITRE ATT&CK v12是一个全球可访问的基于现实世界观察的对手战术和技术知识库，本期介绍了14种提权技术，包括提升控制权限机制、绕过用户帐户控制、Sudo和Sudo缓存、带提示的提权执行、注册表运行键/启动文件夹、认证包、时间提供程序、Winlogon帮助程序DLL、安全支持提供程序、内核模块和扩展、重新开启申请、LSASS驱动程序、快捷键修改、端口监视器、打印处理器、XDG自启动和ActiveSetup等，检测方法包括监控已执行的命令和参数、文件系统中设置了setuid或setgid位的文件、/etc/sudoers文件中的LOG_INPUT和LOG_OUTPUT指令记录所有输入和输出。