ATT&CK中文版


  • 简介
  • 目录大纲
  • 最新文档

    T1105-win-命令提示符网络链接

    T1105-win-命令提示符网络链接 来自ATT&CK的描述 攻击者可能会将工具或其他文件从外部系统转移到被攻陷的环境中。可以通过命令和控制通道从外部攻击者控制的系统中复制文件,以便将工具带入被攻陷的网络环境中,或通过与另一个工具(如FTP)的替代协议复制文件。文件也可以在Mac和Linux上使用scp、rsync和sftp等本机工具进行复制。 测试案例 识别cmd.exe建立网络连接。……

    myh0st - 2021年12月31日 11:04


    T1105-Windows Update可滥用于执行恶意程序行为检测

    T1105-Windows Update被发现可滥用于执行恶意程序行为检测 来自ATT&CK的描述 攻击者可能会将工具或其他文件从外部系统转移到被攻陷的环境中。可以通过命令和控制通道从外部攻击者控制的系统中复制文件,以便将工具带入被攻陷的网络环境中,或通过与另一个工具(如FTP)的替代协议复制文件。文件也可以在Mac和Linux上使用scp、rsync和sftp等本机工具进行复制。 测试案……

    myh0st - 2021年12月31日 11:04


    T1071.002-win-内网FTP链接到公网行为

    T1071-002-win-内网FTP链接到公网行为 来自ATT&CK的描述 攻击者可以使用与传输文件关联的应用程序层协议进行通信,以免与现有流量混在一起进行检测网络过滤。远程系统的命令(通常是这些命令的结果)将嵌入在客户端和服务器之间的协议流量中。 传输文件的协议(例如FTP,FTPS和TFTP)在环境中可能很常见。从这些协议产生的数据包可能具有许多字段和标头,可以在其中隐藏数据。数据也……

    myh0st - 2021年12月31日 11:04


    T1090-001-win-端口转发代理

    T1090-001-win-链接代理 来自ATT&CK的描述 攻击者可以使用连接代理在系统之间定向网络流量,或者充当与命令和控制服务器进行网络通信的中介,以避免直接连接至其基础结构。存在许多启用代理或端口重定向的流量重定向的工具,包括HTRAN,ZXProxy和ZXPortMap。攻击者使用这些类型的代理来管理命令和控制通信,减少同时出站网络连接的数量,面对连接丢失时提供弹性或在受害者之间……

    myh0st - 2021年12月31日 11:03


    T1071-004-win-内网主机向公网DNS发起可疑请求行为

    T1071-004-win-内主机向公网DNS发起可疑请求行为 来自ATT&CK的描述 攻击者可以使用域名系统(DNS)应用层协议进行通信,以免通过与现有流量混合来进行检测/网络过滤。远程系统的命令(通常是这些命令的结果)将嵌入在客户端和服务器之间的协议流量中。 DNS协议在计算机网络中起管理功能,因此在环境中可能非常常见。即使在完成网络身份验证之前,也可能允许DNS通信。DNS数据包包含……

    myh0st - 2021年12月31日 11:03


    命令控制

    myh0st - 2021年12月31日 11:03


    T1550-002-win-哈希传递

    T1550-002-windows-哈希传递 来自ATT&CK的描述 攻击者可能会使用被盗的密码哈希来“传递哈希”,从而在环境中横向移动,从而绕过正常的系统访问控制。传递哈希(PtH)是一种无需访问用户的明文密码即可作为用户身份验证的方法。此方法绕过需要明文密码的标准身份验证步骤,而直接进入使用密码哈希的身份验证部分。在这种技术中,使用凭据访问技术可以捕获正在使用的帐户的有效密码哈希。捕获……

    myh0st - 2021年12月31日 11:02


    T1021-002-win-基于白名单PsExec执行payload

    T1021-002-win-基于白名单PsExec执行payload 来自ATT&CK的描述 攻击者可以使用服务器帐户阻止(SMB)使用有效帐户与远程网络共享进行交互。然后,对手可以以登录用户的身份执行操作。 SMB是同一网络或域上Windows计算机的文件,打印机和串行端口共享协议。攻击者可以使用SMB与文件共享进行交互,从而允许他们在整个网络中横向移动。SMB的Linux和macOS实……

    myh0st - 2021年12月31日 11:02


    T1021-006-win-远程powershell会话

    T1021-006-win-远程powershell会话 来自ATT&CK的描述 攻击者可以使用“ 有效帐户”使用Windows远程管理(WinRM)与远程系统进行交互。然后,对手可以以登录用户的身份执行操作。 WinRM是Windows服务和协议的名称,该协议允许用户与远程系统进行交互(例如,运行可执行文件,修改注册表,修改服务)。可以使用winrm命令或任何数量的程序(例如PowerS……

    myh0st - 2021年12月31日 11:01


    T1210-win-异常的SMB链接行为

    T1210-win-异常的SMB链接行为 来自ATT&CK的描述 攻击者一旦进入网络,便可能利用远程服务获得对内部系统的未授权访问。当攻击者利用程序,服务或操作系统软件或内核本身内的编程错误来执行攻击者控制的代码时,就会利用软件漏洞。建立立足点后利用远程服务的目标是横向移动以实现对远程系统的访问。 攻击者可能需要确定远程系统是否处于易受攻击状态,这可以通过网络服务扫描或其他发现方法来完成,……

    myh0st - 2021年12月31日 11:01



    myh0st