ATT&CK v10版本战术实战研究—持久化(一)

已于 2023-03-03 15:14:54 修改
阅读量451 收藏 1
点赞数
分类专栏: ATTCK 网络安全 文章标签: 网络 Powered by 金山文档
于 2023-03-03 15:10:34 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ducc20180301/article/details/129320424
版权
本文深入探讨了MITRE ATT&CK v10框架下的Windows系统持久化技术,包括辅助功能镜像劫持、AppCertDlls进程注入和BITS作业持久化。通过实例分析了这些技术的原理、实现代码和检测方法,介绍了SiAgent在检测这些威胁中的应用。
摘要由CSDN通过智能技术生成

一、前言

“在网络安全的世界里,白帽子与黑帽子之间无时无刻都在进行着正与邪的对抗,似乎永无休止。正所谓,道高一尺魔高一丈,巨大的利益驱使着个人或组织利用技术进行不法行为,花样层出不穷,令人防不胜防。”

为了更好得应对这些攻击手段,就需要做到了解对手。俗话说:知己知彼,方能百战不殆。MITRE ATT&CK™就提供了全球范围的黑客的攻击手段和技术知识点,并把 APT 组织或恶意工具使用到的攻击手段一一对应,便于从根源上解决问题。许多公司和政府部门都会从中提取信息,针对遇到的威胁建立安全体系或模型。我们作为安全从业人员,如果能够掌握MITRE ATT&CK™如此庞大的知识体系,对以后的工作和对抗来说,就像是拥有了一个武器库,所向披靡。

当然,这么一个庞大的体系是不可能一蹴而就的。我们可以依照MITRE ATT&CK™的框架,从持久化这一点开始。本文的主要内容是介绍 APT 攻击者在 Windows 系统下持久运行恶意代码的常用手段,其中的原理是什么,是怎样实现的,安全运维人员如何及时发现,我们应该从哪些方面预防和检测。

二、测试环境

  • 靶机操作系统:Windows 7

  • 终端威胁检测工具:SiAgent

三、网络拓扑

四、关于SiAgent

4.1 SiAgent介绍

SiAgent是一个用于 Windows、OS X(macOS)、Linux 和 FreeBSD 的操作系统检测软件。这样使得操作系统分析和监控变得既高效又直观。

4.2 SiAgent能做什么

包括但不限于基线设备监控,软件基线,用户基线,配置基线,容器基线等等安全基线的检查与监控。可与安全管理平台进行连接与联动,在最大化的解决了终端的安全隐患的同时,仍然能保持极低的性能消耗,减少不必要的性能开支。

五、相关案例

5.1 辅助功能镜像劫持

5.1.1 简介

在注册表中创建一个辅助功能的注册表项,并根据镜像劫持的原理添加键值,实现系统在未登录状态下,通过快捷键运行自己的程序。

最低0.47元/天 解锁文章
SECISLAND安全官
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ATT&CK v10版本战术介绍—持久化(一)
ducc20180301的博客
02-04 651
本期主要介绍了持久化战术前6项子技术理论知识,下期将给大家介绍持久化战术其他子技术。敬请关注。
网络安全常用术语解读 」网络攻击者的战术、技术和常识知识库ATT&CK详解
最新发布
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
01-22 1705
ATT&CK(Adversarial Tactics, Techniques, and Common Knowledge)是一个针对现实世界观察总结得到网络攻击者的战术、技术和常识知识库。它由美国网络安全公司MITRE开发,旨在帮助网络安全专业人员更好地了解和应对网络威胁。ATT&CK知识库被用作私营部门、政府以及网络安全产品和服务社区中特定威胁模型和方法的开发基础。ATT&CK当前最新版本为 v14,发布于2023年10月31,后续也会持续更新。
十大最常见的ATT&CK战术及技术
xnxqwzy的博客
08-01 1796
ATT&CK框架是一个网络安全综合性知识库,通过对攻击生命周期各阶段的实际观察,从而对攻击者行为进行理解与分类,已成为研究威胁模型和方法的基础工具。随着厂商及企业对该框架的广泛采用,ATT&CK知识库已公认成为了解攻击者的行为模型与技术权威。Picus研究人员从各种来源收集了超过二十万真实世界威胁样本,确定了样本的战术、技术和程序(TTP),并对每个TTP进行了分类,所有样本超过180万种ATT&CK技术。PicusLabs针对此研究发布了Red。
后门及持久化访问2----进程注入之AppCertDlls 注册表项
浅笑996的博客
07-01 1055
代码及原理介绍 如果有进程使用了CreateProcess、CreateProcessAsUser、CreateProcessWithLoginW、CreateProcessWithTokenW或WinExec 函数,那么此进程会获取HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SessionManager\AppCertDlls注册表项,此项下的dll都会加载到此进程。 Win7版本下没有“AppCertDlls”项,需自己创建。 代码如下
ATT&CK v10版本战术实战研究--侦察
ducc20180301的博客
04-02 5027
上篇文章《ATT&CK V10版本战术介绍-侦察》中介绍了侦察的一些理论知识,本章主要对侦察进行技术验证。侦察包括涉及对手主动或被动收集可用于支持目标定位的信息的技术。
ATT&CK v10版本战术介绍—资源开发
ducc20180301的博客
04-15 5665
在前两期文章中我们介绍了ATT&CK中侦察战术理论知识及实战研究,通过实战场景验证行之有效的检测规则、防御措施,本期我们为大家介绍ATT&CK 14项战术中资源开发战术,后续会陆续介绍其他战术内容,敬请关注。
ATT&CK v10版本战术介绍-执行(上篇)
ducc20180301的博客
05-13 642
在前几期文章中我们介绍了ATT&CK中侦察、资源开发、初始访问战术理论知识及实战研究,本期我们为大家介绍ATT&CK 14项战术中的执行战术前6项技术内容,下期介绍执行战术后6项技术内容,敬请关注。
ATT&CK框架简介 已知攻击技术汇总
热门推荐
whatday的专栏
03-10 1万+
一、ATT&CK框架背景介绍 MITRE是美国政府资助的一家研究机构,该公司于1958年从MIT分离出来,并参与了许多商业和最高机密项目。其中包括开发FAA空中交通管制系统和AWACS机载雷达系统。MITRE在美国国家标准技术研究所(NIST)的资助下从事了大量的网络安全实践。 MITRE在2013年推出了ATT&CK模型,它是根据真实的观察数据来描述和分类对抗行为。AT...
windows十种注入方式
从事厨房信息化行业,万能对接所有点餐系统,kds,智能控菜,酒店协调软件
09-13 5786
进程注入是一种广泛应用于恶意软件和无文件攻击中的逃避技术,这需要在另一个进程的地址空间内运行自定义代码。进程注入提高了隐蔽性,一些技术也实现了持久性。 尽管有许多流程注入技术,在本博客中,我提供了十种在现实看到注入另一个进程运行恶意代码的技术。 我还提供了许多这些技术的屏幕截图,以便于逆向工程和恶意软件分析,协助针对这些常见技术进行检测和防御。 1. 经典的DLL注入方式 经典的DLL注入方式:通过CREATEREMOTETHREAD和LOADLIBRARY进行注入。 这种技术是用于将恶意软件注入另一
后门及持久化访问3----进程注入之AppInit_DLLs注册表项
浅笑996的博客
07-01 769
进程注入之AppInit_DLLs注册表项 User32.dll被加载到进程时,会获取AppInit_DLLs注册表项,若有值,则调用LoadLibrary() API加载用户DLL。只会影响加载了user32.dll的进程。 HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Window\Appinit_Dlls 代码如下: #include #include using namespace std; int
dll注入&代码注入
weixin_45880501的博客
09-17 1649
dll注入&代码注入 CreateRemoteThread 思路:在目标进程中申请一块内存并向其中写DLL路径,然后调用 CreateRemoteThread ,**(在自己进程中 创建远程线程到到目标进程)在目标进程中创建一个线程。**LoadLibrary()”函数作为线程的启动函数,来加载待注入的DLL文件 ,LoadLibrary()参数 就是存放DLL路径的内存指针. 这时需要目标进程的4个权限(PROCESS_CREATE_THREAD,PROCESS_QUERY_INFORMATION
渗透测试 QA 收集
whatday的专栏
07-24 2848
1、拿到一个待检测的站,你觉得应该先做什么? 信息收集 a、获取域名的whois信息,获取注册者邮箱姓名电话等,丢社工库里看看有没有泄露密码,然后尝试用泄露的密码进行登录后台。用邮箱做关键词进行丢进搜索引擎。利用搜索到的关联信息找出其他邮箱进而得到常用社交账号。社工找出社交账号,里面或许会找出管理员设置密码的习惯 。利用已有信息生成专用字典。 b、查询服务器旁站以及子域名站点,因为主站一般比较难,所以先看看旁站有没有通用性的cms或者其他漏洞。 c、查看服务器操作系统版本,web中间件,看看是否...
10种常见的进程注入技术的总结
qing666888的专栏
09-21 1万+
译者:myswsun 预估稿费:300RMB 投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿 0x00 前言 进程注入是一种广泛应用于恶意软件和无文件攻击中的逃避技术,这意味着可以将自定义代码运行在另一个进程的地址空间内。进程注入提高了隐蔽性,也实现了持久化。尽管有非常多的进程注入技术,但是本文我只列举了10种常见的技术。我还提供了这些
十种进程注入技术介绍:常见注入技术及趋势调查
Fly_鹏程万里
12-04 1575
前言 进程注入是一种广泛使用的躲避检测的技术,通常用于恶意软件或者无文件技术。其需要在另一个进程的地址空间内运行特制代码,进程注入改善了不可见性,同时一些技术也实现了持久性。尽管目前有许多进程注入技术,但在这篇文章中,我将会介绍十种在野发现的,在另一个程序的地址空间执行恶意代码的进程注入技术,并提供这些技术应用的截图,以便于逆向工程和恶意软件分析,然后协助检测并防御这些进程注入技术。 一、...
十种流行进程注入技术详细分析
weixin_34050389的博客
09-13 1055
本文讲的是十种流行进程注入技术详细分析, 前言 流程注入是一种恶意软件和无文件间谍攻击中使用的最为广泛的漏洞攻击技术,而且在攻击时还需要在另一个进程的地址空间内运行自定义代码。过程注入除了提高了攻击的隐蔽性之外,也实现了持久性攻击。尽管目前有许多流程注入技术,但在本文中,我只介绍十种在野外看到的能够运用另一个进程运行恶意代码的技术。在介绍的同时,我还会...
进程创建流程
06-30 1996
;进程创建过程开始 CreateProcessAcall   kernel32!CreateProcessA ;10个参数; BOOL WINAPI CreateProcess(;   __in_opt     LPCTSTR lpApplicationName,;   __inout_opt  LPTSTR lpCommandLine,;   __in_opt     L
初探进程注入
安全杂货铺
02-11 2237
十种进程注入技术研究 翻译自:https://www.endgame.com/blog/technical-blog/ten-process-injection-techniques-technical-survey-common-and-trending-process 简介 进程注入是一类各种恶意软件广泛使用的反检测技术,主要功能是在另一个进程的地址空间内运行自定义的代码。进...
构建与运营企业内部ATT&CK框架
文档提到了ATT&CK的最新版本V9和2021路线图,包括对不同平台如MacOS、IaaS、SaaS、容器领域的攻击技术更新,并强调了数据源和结构化的改进。此外,文档还介绍了ATT&CK的历史发展,以及它作为攻击与防守双方沟通语言...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值