日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

一、引言

在上期文章中我們介紹了ATT&CK執(zhí)行戰(zhàn)術(shù)前6項技術(shù)內(nèi)容，本期我們?yōu)榇蠹医榻B執(zhí)行戰(zhàn)術(shù)后7項技術(shù)內(nèi)容，后續(xù)會陸續(xù)介紹ATT&CK其他戰(zhàn)術(shù)內(nèi)容，敬請關注。

二、ATT&CK v10簡介

MITRE ATT&CK 是一個全球可訪問的基于現(xiàn)實世界觀察的對手戰(zhàn)術(shù)和技術(shù)知識庫。ATT&CK 知識庫被用作在私營部門、政府以及網(wǎng)絡安全產(chǎn)品和服務社區(qū)中開發(fā)特定威脅模型和方法的基礎。ATT&CK v10更新了適用于企業(yè)、移動設備和 ICS（工業(yè)控制系統(tǒng)）框架的技術(shù)、組和軟件。最大的變化是在企業(yè) ATT&CK 中增加了一組新的數(shù)據(jù)源和數(shù)據(jù)組件對象，這是對 ATT&CK v9 中發(fā)布的 ATT&CK 數(shù)據(jù)源名稱更改的補充。在 ATT&CK v10 中更新的內(nèi)容匯總了有關數(shù)據(jù)源的這些信息，同時將它們構(gòu)建為新的 ATT&CK 數(shù)據(jù)源對象。ATT&CK v10 for Enterprise包含14個戰(zhàn)術(shù)、188個技術(shù)、379個子技術(shù)、129個組織、638個軟件，一共包括38類數(shù)據(jù)源。數(shù)據(jù)源對象具有數(shù)據(jù)源的名稱以及關鍵細節(jié)和元數(shù)據(jù)，包括 ID、定義、可以收集它的位置（收集層）、可以在什么平臺上找到它，突出顯示構(gòu)成數(shù)據(jù)源的相關值/屬性的組件。ATT&CK v10 中的數(shù)據(jù)組件分析每個亮點映射到各種（子）技術(shù)，這些技術(shù)可以用該特定數(shù)據(jù)檢測到。在個別（子）技術(shù)上，數(shù)據(jù)源和組件已從頁面頂部的元數(shù)據(jù)框重新定位，以與檢測內(nèi)容并置。這些數(shù)據(jù)源可用于 Enterprise ATT&CK 的所有平臺，包括最新添加的涵蓋映射到 PRE 平臺技術(shù)的開源情報 (OSINT) 相關數(shù)據(jù)源。

ATT&CK戰(zhàn)術(shù)全景圖（紅框為執(zhí)行戰(zhàn)術(shù)）

三、執(zhí)行戰(zhàn)術(shù)

3.1 概述

執(zhí)行戰(zhàn)術(shù)是指攻擊者控制的惡意代碼在本地或遠程系統(tǒng)上運行的技術(shù)，通常與其他技術(shù)結(jié)合使用，例如掃描網(wǎng)絡或竊取數(shù)據(jù)，使用遠程訪問工具來運行PowerShell 腳本等。

執(zhí)行包括13種技術(shù)，前一期我們已介紹了前6種技術(shù)，下面逐一介紹后7種技術(shù)。

3.2 利用計劃任務/工作（T1053）

攻擊者可利用任務調(diào)度功能來執(zhí)行惡意代碼。所有主要操作系統(tǒng)中都有程序或腳本在指定的日期和時間執(zhí)行。如果滿足適當?shù)纳矸蒡炞C（例如：RPC 以及 Windows 環(huán)境中的文件和打印機共享），也可以在遠程系統(tǒng)上安排任務，需要成為遠程系統(tǒng)上的管理員或其他特權(quán)組的成員。

攻擊者可能會使用任務調(diào)度在系統(tǒng)啟動時或定時執(zhí)行程序以實現(xiàn)持久性。這些機制也可以被利用以在特權(quán)帳戶下運行進程。與系統(tǒng)二進制代理執(zhí)行類似，攻擊者也利用任務調(diào)度來掩蓋受信任系統(tǒng)進程下的一次性執(zhí)行。

利用計劃任務/工作包含5個子技術(shù)，如下：

3.2.1 At程序（T1053.002）

攻擊者可能會利用at程序執(zhí)行惡意代碼的任務調(diào)度。at程序是Windows、Linux 和 macOS 中的可執(zhí)行文件，可執(zhí)行定時任務。盡管在 Windows 環(huán)境中已棄用計劃任務的 schtasks，但使用 at 需要運行任務計劃程序服務，并且用戶必須作為本地管理員組的成員登錄。

在Linux和macOS 上，超級用戶以及添加到 at.allow 文件的任何用戶都可以調(diào)用 at。如果 at.allow 文件不存在，則允許不在 at.deny 中的用戶名調(diào)用at。如果at.deny存在且為空，則允許全局使用 at。如果兩個文件都不存在，則只允許超級用戶使用at。

攻擊者可使用at在系統(tǒng)啟動時或定時執(zhí)行程序以實現(xiàn)持久化。at也可以被利用來作為橫向移動的一部分進行遠程執(zhí)行或在指定帳戶下運行進程。

在 Linux 環(huán)境中，攻擊者還可能通過shell或系統(tǒng)命令來利用at程序突破受限環(huán)境。如果允許二進制文件通過sudo以超級用戶身份運行，at也可用于權(quán)限提升。

3.2.2 Cron程序（T1053.003）

攻擊者可能會利用cron程序定時執(zhí)行惡意代碼。cron程序是用于類Unix 操作系統(tǒng)的定時任務調(diào)度程序。crontab文件包含要運行的定時任務計劃和執(zhí)行時間，存儲在操作系統(tǒng)特定的文件路徑中。

攻擊者可在Linux或Unix 環(huán)境中使用cron在系統(tǒng)啟動時或定時執(zhí)行程序以實現(xiàn)持久化。

3.2.3 計劃任務（T1053.005）

攻擊者可能會利用 Windows 任務計劃程序來實現(xiàn)惡意代碼的初始或重復執(zhí)行。有多種方法可以訪問 Windows 中的任務計劃程序。schtasks 程序可以直接在命令行上運行，也可以通過控制面板的GUI打開任務計劃程序。攻擊者也可使用 Windows 任務計劃程序的.NET包裝器，或Windows netapi32庫來創(chuàng)建計劃任務。

攻擊者可能會使用Windows任務計劃程序在系統(tǒng)啟動時或定時執(zhí)行以實現(xiàn)持久化。Windows 任務計劃程序可被遠程執(zhí)行作為橫向移動的一部分或在指定帳戶下運行進程。與系統(tǒng)二進制代理執(zhí)行類似，攻擊者也利用Windows 任務計劃程序來掩蓋簽名/受信任系統(tǒng)進程下的一次性執(zhí)行。

攻擊者還可以創(chuàng)建隱藏的計劃任務，用于列舉任務的工具和手動查詢。攻擊者可以通過刪除關聯(lián)的安全描述符（SD）注冊表值來隱藏SCHTASKS 查詢和任務調(diào)度程序的任務。也可以采用替代方法隱藏任務，例如在關聯(lián)注冊表密鑰中更改元數(shù)據(jù)（例如索引值）。

3.2.4 系統(tǒng)定時器（T1053.006）

攻擊者可能會利用 systemd 計時器來執(zhí)行惡意代碼。Systemd 計時器是具有文件擴展名 .timer 的單元文件，用于控制服務。計時器可以定時運行。它們可以在Linux 環(huán)境中用作Cron 的替代方案。Systemd 計時器可以通過 systemctl 命令行遠程激活，通過 SSH 運行。

每個.timer文件必須有一個對應的同名.service文件，例如 example.timer 和 example.service。.service 文件是由 systemd 系統(tǒng)和服務管理器所管理的 Systemd 服務單元文件。特權(quán)計時器寫入 /etc/systemd/system/ 和 /usr/lib/systemd/system，而用戶級別寫入 ~/.config/systemd/user/。

攻擊者可能會使用 systemd 計時器在系統(tǒng)啟動時或定時執(zhí)行惡意代碼以實現(xiàn)持久化。使用特權(quán)路徑安裝的計時器可用于維護根級持久化，安裝用戶級計時器以實現(xiàn)用戶級持久化。

3.2.5 容器編排任務（T1053.007）

攻擊者可能會利用容器編排工具（如 Kubernetes）提供的任務調(diào)度功能，來部署執(zhí)行惡意代碼的容器。容器編排任務定時執(zhí)行自動化任務，類似 Linux 系統(tǒng)上的 cron程序。該類型部署也可以配置為彈性擴容的容器，自動化在集群內(nèi)保持持久化。

在Kubernetes中，CronJob可用于調(diào)度運行一個或多個容器以執(zhí)行特定任務。因此，攻擊者可能會利用 CronJob 在集群內(nèi)的各個節(jié)點中執(zhí)行惡意代碼。

3.2.6 緩解措施

ID	緩解措施	描述
M1047	審計	PowerSploit框架等工具包含PowerUp模塊，可發(fā)現(xiàn)計劃任務中存在權(quán)限弱點可被權(quán)限提升的系統(tǒng)。
M1028	操作系統(tǒng)配置	配置計劃任務強制在經(jīng)過身份驗證的帳戶下運行，而不是允許它們以 SYSTEM 賬戶運行。關聯(lián)的注冊表項位于 HKLM\SYSTEM\CurrentControlSet\Control\Lsa\SubmitControl。該設置可以通過 GPO 進行配置：計算機配置 > [策略] > Windows 設置 > 安全設置 > 本地策略 > 安全選項：域控制器：允許服務器操作員安排任務，設置為禁用。
M1026	特權(quán)賬戶管理	配置“增加調(diào)度優(yōu)先級”選項僅允許管理員組有權(quán)調(diào)度優(yōu)先級。這可以通過 GPO 進行配置：計算機配置 > [策略] > Windows 設置 > 安全設置 > 本地策略 > 用戶權(quán)限分配：增加調(diào)度優(yōu)先級。
M1018	用戶賬戶管理	限制用戶帳戶的權(quán)限，只有授權(quán)管理員才能在遠程系統(tǒng)上創(chuàng)建計劃任務。

3.2.7 檢測

ID	數(shù)據(jù)源	數(shù)據(jù)組件	檢測
DS0017	命令	命令執(zhí)行	監(jiān)控已執(zhí)行命令和參數(shù)，這些命令和參數(shù)可能利用計劃任務執(zhí)行惡意代碼。
DS0032	容器	容器創(chuàng)建	監(jiān)控新建的容器，這些容器可能利用計劃任務執(zhí)行惡意代碼。
DS0022	文件	文件創(chuàng)建	監(jiān)控新建的文件，這些文件可能利用計劃任務執(zhí)行惡意代碼。
		文件修改	監(jiān)控修改的文件，這些文件可能利用計劃任務執(zhí)行惡意代碼。
DS0009	進程	進程創(chuàng)建	監(jiān)控新建的進程，這些進程可能利用計劃任務執(zhí)行惡意代碼。
DS0003	計劃 任務	計劃任務創(chuàng)建	監(jiān)控新建的計劃任務，這些計劃任務可能執(zhí)行惡意代碼。

3.3 無服務器執(zhí)行（T1648）

攻擊者可能會利用無服務器計算、集成和自動化服務來在云環(huán)境中執(zhí)行任意代碼。許多云提供商提供各種無服務器資源，包括計算引擎、應用程序集成服務和web服務器。

攻擊者利用這些資源作為執(zhí)行任意命令的手段。例如，攻擊者使用無服務器函數(shù)來執(zhí)行惡意代碼（例如加密挖掘惡意軟件）。攻擊者還可能創(chuàng)建特權(quán)賬號以執(zhí)行原始用戶無法執(zhí)行的操作。

攻擊者可以調(diào)用無服務器函數(shù)來執(zhí)行云事件，隨著時間的推移實現(xiàn)持久化。例如，在AWS環(huán)境中，攻擊者可能會創(chuàng)建一個Lambda函數(shù)，該函數(shù)會自動向用戶添加其他云憑據(jù)，以及相應的CloudWatch events規(guī)則，該規(guī)則會在創(chuàng)建新用戶時調(diào)用該函數(shù)。類似地，攻擊者可以在Office365環(huán)境中創(chuàng)建Power Automate工作流，該工作流將轉(zhuǎn)發(fā)用戶收到的所有電子郵件，或在授予用戶訪問SharePoint中的文檔的權(quán)限時創(chuàng)建匿名共享鏈接的所有電子郵件。

3.3.1 緩解措施

ID	緩解措施	描述
M1018	用戶賬戶管理	從未明確要求無服務器資源的用戶中刪除創(chuàng)建、修改或運行無服務器資源的權(quán)限。

3.3.2 檢測

ID	數(shù)據(jù)源	數(shù)據(jù)組件	檢測
DS0015	應用程序日志	應用程序日志內(nèi)容	監(jiān)視無服務器執(zhí)行生成的日志，以查看異?；顒?。 例如，在Exchange環(huán)境中，Power Automate通過Outlook365連接器發(fā)送的電子郵件在SMTP標題"x-ms-mail-application"中包含短語"Power App"或"Power Automate"。
DS0025	云服務	云服務修改	監(jiān)控無服務器資源的創(chuàng)建和修改。

3.4 利用共享模塊執(zhí)行（T1129）

攻擊者可能通過加載共享模塊來執(zhí)行惡意載荷，通過Windows 模塊加載器從任意本地路徑和網(wǎng)絡路徑加載 DLL。此功能在 NTDLL.dll 中，是 Windows本機API 的一部分，來自Win32 API 的 CreateProcess、LoadLibrary 等函數(shù)調(diào)用。

模塊加載程序可以通過如下幾種方式加載 DLL：

• 通過導入目錄中指定DLL 路徑名；
• 通過導出轉(zhuǎn)發(fā)到另一個DLL，指定路徑名；
• 通過NTFS或Symlink program.exe.Local，包含導入、導出中指定的DLL路徑名；
• 通過嵌入或外部應用程序清單中的。文件名指的是導入或?qū)С瞿夸浿械臈l目。

攻擊者可能會使用此功能作在受害系統(tǒng)上執(zhí)行任意有效負載。例如，惡意軟件可能會執(zhí)行共享模塊來加載其他組件或功能。

3.4.1 緩解措施

ID	緩解措施	描述
M1038	執(zhí)行預防	通過應用程序控制工具防止加載未知 DLL，識別和阻止惡意軟件。

3.4.2 檢測

ID	數(shù)據(jù)源	數(shù)據(jù)組件	檢測
DS0011	模塊	模塊負載	將 DLL 模塊加載限制到 %SystemRoot% 和 %ProgramFiles% 目錄將防止來自不安全路徑的模塊加載。
DS0009	進程	操作系統(tǒng) API 執(zhí)行	監(jiān)控可能通過加載共享模塊來執(zhí)行惡意負載的 API 調(diào)用。

3.5 利用第三方軟件部署工具（T1072）

攻擊者可以訪問和使用安裝在企業(yè)網(wǎng)絡中的第三方軟件，例如管理、監(jiān)控和部署系統(tǒng)，以在網(wǎng)絡中橫向移動。

攻擊者可利用第三方軟件遠程執(zhí)行代碼，可橫向移動到其他系統(tǒng)、收集信息或產(chǎn)生特定效果，例如擦除所有端點上的硬盤驅(qū)動器。

此操作所需的權(quán)限因系統(tǒng)配置而異，本地憑據(jù)可直接訪問第三方系統(tǒng)，或者需要特定的域憑據(jù)，系統(tǒng)可能需要管理帳戶才能登錄或執(zhí)行。

3.5.1 緩解措施

ID	緩解措施	描述
M1015	活動目錄配置	通過使用組策略確保關鍵網(wǎng)絡系統(tǒng)訪問隔離。
M1032	多因素認證	通過使用多因素身份驗證，確保關鍵網(wǎng)絡系統(tǒng)訪問隔離。
M1030	網(wǎng)絡分段	通過使用防火墻確保對關鍵網(wǎng)絡系統(tǒng)的系統(tǒng)隔離。
M1027	密碼策略	驗證可用于訪問部署系統(tǒng)的帳戶憑據(jù)是否唯一且未在整個企業(yè)網(wǎng)絡中使用。
M1026	特權(quán)賬戶管理	僅向有限數(shù)量的管理員授予對應用程序部署系統(tǒng)的訪問權(quán)限。
M1029	遠程數(shù)據(jù)存儲	如果應用程序部署系統(tǒng)可以配置為僅部署簽名的二進制文件，則確?？尚藕灻C書不與應用程序部署系統(tǒng)位于同一位置，而是位于無法遠程訪問或者嚴格受控的系統(tǒng)上。
M1051	更新軟件	定期更新補丁，防止利用特權(quán)來遠程訪問。
M1018	用戶賬戶管理	確保第三方提供商訪問系統(tǒng)的帳戶都可追溯，并且不會在整個網(wǎng)絡中使用或被共用。確保對提供給這些系統(tǒng)的帳戶進行定期審查，并確保有訪問權(quán)限的回收機制。通過使用帳戶權(quán)限分離，確保關鍵網(wǎng)絡系統(tǒng)的訪問隔離。
M1017	用戶培訓	對部署系統(tǒng)的使用有嚴格的審批政策。

3.5.2 檢測

ID	數(shù)據(jù)源	數(shù)據(jù)組件	檢測
DS0015	應用日志	應用日志內(nèi)容	通過審計第三方應用程序的日志發(fā)現(xiàn)未經(jīng)授權(quán)的可疑行為，以及賬號異常登錄行為等。
DS0009	進程	進程創(chuàng)建	監(jiān)控新創(chuàng)建的進程行為。

3.6 利用系統(tǒng)服務（T1569）

攻擊者可能利用系統(tǒng)服務或守護程序來執(zhí)行命令或程序。攻擊者可以通過在本地或遠程與服務交互執(zhí)行惡意代碼。許多服務設置為在啟動時運行，這有助于實現(xiàn)持久化，但攻擊者也可以利用服務一次性執(zhí)行。

利用系統(tǒng)服務技術(shù)包含2個子技術(shù)，如下：

3.6.1 Launchctl（T1569.001）

攻擊者可能會利用launchctl 來執(zhí)行命令或程序。Launchctl 與 macOS 的服務管理框架 launchd 交互。Launchctl 支持在命令行上以交互方式獲取子命令，甚至從標準輸入中重定向。

攻擊者使用launchctl執(zhí)行命令和程序作為啟動代理或守護程序。常見的子命令包括：launchctl load、launchctl unload 和 launchctl start。攻擊者可以使用腳本或手動運行命令launchctl load -w "%s/Library/LaunchAgents/%s" 或 /bin/launchctl load 來執(zhí)行啟動代理或啟動守護進程。

3.6.2 服務執(zhí)行（T1569.002）

攻擊者可能會利用 Windows 服務控制管理器來執(zhí)行惡意載荷。Windows 服務控制管理器是管理和操作服務的接口，用戶可以通過 GUI 組件以及 sc.exe 和 Net 等系統(tǒng)程序訪問服務控制管理器。

PsExec用于針對服務控制管理器API創(chuàng)建的臨時Windows服務執(zhí)行命令或有效負載。PsExec和sc.exe 等工具可用于遠程執(zhí)行。

攻擊者可能會通過新的服務結(jié)合權(quán)限提升等技術(shù)來執(zhí)行惡意載荷。

3.6.3 緩解措施

ID	緩解措施	描述
M1040	端點行為防御	在Windows 10上，啟用攻擊面減少 (ASR) 規(guī)則以阻止 PsExec 創(chuàng)建的進程運行。
M1026	特權(quán)賬戶管理	確保權(quán)限不允許具有較低權(quán)限級別的用戶創(chuàng)建或與之交互以較高權(quán)限級別運行的服務。
M1022	限制文件和目錄權(quán)限	確保權(quán)限級別較低的用戶無法替換或修改高權(quán)限級別的服務二進制文件。
M1018	用戶賬戶管理	防止用戶安裝自己的啟動代理或啟動守護程序。

3.6.4 檢測

ID	數(shù)據(jù)源	數(shù)據(jù)組件	檢測
DS0017	命令	命令執(zhí)行	監(jiān)控異常的命令行調(diào)用，包括修改與正常使用模式不符合的軟件、補丁或服務。
DS0022	文件	文件修改	監(jiān)控針對文件所做的更改
DS0009	進程	進程創(chuàng)建	監(jiān)控新創(chuàng)建的進程
DS0019	服務	服務創(chuàng)建	監(jiān)控新創(chuàng)建的服務
DS0024	Windows 注冊表	Windows 注冊表項修改	監(jiān)控針對windows注冊表所做的修改

3.7 誘導用戶執(zhí)行（T1204）

攻擊者可能會依賴用戶的特定操作來獲得執(zhí)行。用戶可能會受到社會工程的影響，例如打開惡意文件或鏈接被執(zhí)行惡意代碼，這些用戶操作被視為網(wǎng)絡釣魚的后續(xù)行為。

攻擊者還可能欺騙用戶執(zhí)行操作，例如啟用遠程訪問軟件，允許攻擊者直接控制系統(tǒng)，或下載和執(zhí)行惡意軟件等。

誘導用戶執(zhí)行技術(shù)包含3個子技術(shù)，如下：

3.7.1 惡意鏈接（T1204.001）

攻擊者可能依賴用戶點擊惡意鏈接來獲得執(zhí)行。用戶可能會受到社會工程影響，讓用戶點擊一個鏈接，這將導致代碼執(zhí)行。單擊鏈接還可能導致其他執(zhí)行技術(shù)，例如通過利用瀏覽器或應用程序漏洞執(zhí)行，鏈接還可能導致用戶下載惡意代碼執(zhí)行關聯(lián)的文件。

3.7.2 惡意文件（T1204.002）

攻擊者可能依賴用戶打開惡意文件以獲得執(zhí)行。用戶可能會受到社會工程的影響，使他們打開將導致代碼執(zhí)行的文件。攻擊者可能使用需要用戶執(zhí)行的多種類型的文件，包括 .doc、.pdf、.xls、.rtf、.scr、.exe、.lnk、.pif 和 .cpl。

攻擊者可能會使用各種形式的偽裝和混淆文件來增加用戶打開并成功執(zhí)行惡意文件的可能性。這些方法可能包括使用熟悉的命名約定或密碼保護文件，并向用戶提供有關如何打開文件的說明。

3.7.3 惡意圖片（T1204.003）

攻擊者可能會依賴用戶運行惡意圖片以獲得執(zhí)行。主流的云平臺、容器運行時都可以被安裝后門。后門鏡像可以通過惡意軟件上傳到公共存儲庫，用戶可以從鏡像下載并部署實例或容器，而不會意識到鏡像是惡意的，這可能導致在實例或容器中執(zhí)行惡意代碼，例如執(zhí)行加密貨幣挖掘的代碼。

攻擊者還可能以某種方式命名鏡像（例如：匹配合法名稱或位置）以混淆用戶，增加用戶錯誤地從鏡像部署實例或容器的機會。

3.7.4 緩解措施

ID	緩解措施	描述
M1040	端點行為預防	在Windows10上，啟用攻擊面減少 (ASR) 規(guī)則以阻止可執(zhí)行文件運行，并通過阻止將惡意代碼寫入磁盤來防止Office應用程序創(chuàng)建惡意可執(zhí)行內(nèi)容。
M1038	執(zhí)行預防	通過應用程序控制防止偽裝的可執(zhí)行文件的運行。
M1031	網(wǎng)絡入侵防御	如果用戶正在訪問鏈接，則可以使用網(wǎng)絡入侵防御系統(tǒng)。
M1021	限制基于 Web 的內(nèi)容	如果用戶正在訪問鏈接，則默認阻止傳輸中的未知或未使用文件，這些文件不應下載，例如 .scr、.exe、.pif、 .cpl 等。一些下載掃描設備可以打開和分析壓縮和加密的格式，例如可能用于隱藏惡意文件的 zip 和 rar。
M1017	用戶培訓	通過用戶培訓提高用戶對常見網(wǎng)絡釣魚技術(shù)的認識，增強安全意識。

3.7.5 檢測

ID	數(shù)據(jù)源	數(shù)據(jù)組件	檢測
DS0015	應用日志	應用日志內(nèi)容	監(jiān)控第三方應用程序日志記錄以發(fā)現(xiàn)用戶異常執(zhí)行行為。
DS0017	命令	命令執(zhí)行	監(jiān)控應用程序的執(zhí)行和命令行參數(shù)。
DS0032	容器	容器創(chuàng)建	監(jiān)控新建的容器，這些容器可能使用現(xiàn)有合法的外部 Web 服務而不是它們的主要命令和控制通道來泄露數(shù)據(jù)。
		容器啟動	監(jiān)控容器的激活或調(diào)用。
DS0022	文件	文件創(chuàng)建	防病毒軟件可能會檢測到在用戶計算機上下載和執(zhí)行的惡意文檔和文件。端點防御系統(tǒng)可能會在文件打開后檢測到惡意事件。
DS0007	圖像	圖像創(chuàng)建	監(jiān)控新建的圖像，可能使用現(xiàn)有的合法外部 Web 服務而不是其主要命令和控制通道來泄露數(shù)據(jù)。
DS0030	實例	創(chuàng)建實例	監(jiān)控新建的實例，可能使用現(xiàn)有的合法外部 Web 服務而不是其主要命令和控制通道來泄露數(shù)據(jù)。
		實例啟動	監(jiān)控實例的激活或調(diào)用。
DS0029	網(wǎng)絡流量	網(wǎng)絡連接創(chuàng)建	監(jiān)控新建的基于web的網(wǎng)絡連接，這些網(wǎng)絡連接被發(fā)送到惡意或可疑目的地。檢測異常進程執(zhí)行和命令行參數(shù)（例如，監(jiān)控不正常啟動網(wǎng)絡連接或由 regsvr32.exe、rundll.exe、.SCF、HTA、 MSI、DLL 或 msiexec.exe）。。
		網(wǎng)絡流量內(nèi)容	監(jiān)控和分析與基于 Web 的網(wǎng)絡連接相關的流量數(shù)據(jù)包，檢測異常進程執(zhí)行和命令行參數(shù)。
DS0009	進程	進程創(chuàng)建	監(jiān)控新執(zhí)行的進程，攻擊者可能會使用這些進程來獲得需要用戶交互的初始訪問權(quán)限。

3.8 利用windows管理規(guī)范（WMI）（T1047）

攻擊者可能會利用Windows Management Instrumentation (WMI) 來執(zhí)行惡意載荷。WMI 是一項管理功能，可提供統(tǒng)一的環(huán)境來訪問Windows系統(tǒng)組件。WMI 服務支持本地和遠程訪問，常用端口：135和5985。

攻擊者可以使用 WMI 與本地和遠程系統(tǒng)交互，遠程執(zhí)行文件可用于信息收集、橫向移動等環(huán)節(jié)。

3.8.1 緩解措施

ID	緩解措施	描述
M1040	端點行為預防	在Windows 10上，啟用攻擊面減少 (ASR) 規(guī)則以阻止由WMI 命令創(chuàng)建的進程運行。注意：許多合法工具和應用程序使用 WMI 來執(zhí)行命令。
M1038	執(zhí)行預防	如果給定系統(tǒng)或網(wǎng)絡不需要執(zhí)行 wmic.exe，請使用配置為阻止執(zhí)行 wmic.exe 的應用程序控制，以防止對手潛在的利用。例如，在 Windows 10 和 Windows Server 2016 及更高版本中，可能會應用 Windows Defender 應用程序控制 (WDAC) 策略規(guī)則來阻止 wmic.exe 應用程序并防止被利用。
M1026	特權(quán)賬戶管理	防止管理員和特權(quán)帳戶系統(tǒng)之間的憑據(jù)重疊。
M1018	用戶賬戶管理	默認情況下，僅允許管理員使用 WMI 進行遠程連接。限制允許連接的其他用戶，或禁止所有用戶遠程連接到 WMI。

3.8.2 檢測

ID	數(shù)據(jù)源	數(shù)據(jù)組件	檢測
DS0017	命令	命令執(zhí)行	監(jiān)控用于執(zhí)行遠程行為操作的命令和參數(shù)。
DS0029	網(wǎng)絡流量	網(wǎng)絡連接創(chuàng)建	監(jiān)控 WMI 連接的網(wǎng)絡流量，在通常不使用 WMI 的環(huán)境中使用 WMI 視為異常。
DS0009	進程	進程創(chuàng)建	監(jiān)控新建的wmic進程或命令行

網(wǎng)頁題目：ATT&CKv10版本戰(zhàn)術(shù)介紹執(zhí)行
網(wǎng)頁地址：http://www.5511xx.com/article/cdgpjdh.html