ATT&CK v12版本战术实战研究—持久化(二)

最新推荐文章于 2023-06-26 11:43:28 发布
最新推荐文章于 2023-06-26 11:43:28 发布
阅读量715 收藏 1
点赞数
分类专栏: 网络安全 ATTCK 文章标签: 云计算 网络 网络安全 数据安全 运维 Powered by 金山文档
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ducc20180301/article/details/129321259
版权
本文深入探讨了ATT&CK框架中持久化战术的三个关键子技术:后门账户、后门服务程序和DLL劫持。通过案例分析了攻击者如何利用这些技术在Windows系统中建立持久访问,并提供了相应的预防和监控措施,强调了安全运维人员对态势感知和网络监控的重要性。
摘要由CSDN通过智能技术生成

一、前言

前几期文章中,我们介绍了ATT&CK中侦察、资源开发、初始访问、执行战术、持久化战术的知识。那么从前文中介绍的相关持久化子技术来开展测试,进行更深一步的分析。本文主要内容是介绍攻击者在运用持久化子技术时,在相关的资产服务器或者在PC机器上所产生的特征数据进行分析,使安全运维人员在后续工作中应当如何去进行预防和快速响应。

二、持久化战术

1、后门账户

1.1 介绍

攻击者可以创建一个后门账户,此后门账户用来维持对受害系统的持久性访问。同时将后门账户进行隐藏,日常操作中,无法发现此账户的存在。

1.2 Windows资产后门账号事件

a)重要资产发生异常账户创建

b)异常账户注册表键值被篡改

根据对异常账户创建事件的监控,对应到异常账户在注册表中对应的键值,监控该键值的篡改操作,进行更细粒度化监控。

最低0.47元/天 解锁文章
SECISLAND安全官
关注
专栏目录
ATT&CK v12版本战术介绍——防御规避(一)
ducc20180301的博客
03-24 665
在前几期文章中我们介绍了ATT&CK中侦察、资源开发、初始访问、执行、持久化、提权战术理论知识及实战研究,本期我们为大家介绍ATT&CK 14项战术中防御规避战术(一),包括防御规避前6项子技术,后续会介绍防御规避其他子技术,敬请关注。
ATT&CK v12版本战术介绍——防御规避(四)
ducc20180301的博客
04-28 739
在前几期文章中我们介绍了ATT&CK中侦察、资源开发、初始访问、执行、持久化、提权战术理论知识及实战研究、部分防御规避战术,本期我们为大家介绍ATT&CK 14项战术中防御规避战术第19-24种子技术,后续会介绍防御规避其他子技术,敬请关注。
ATT&CK v10版本战术介绍-执行(上篇)
ducc20180301的博客
05-13 660
在前几期文章中我们介绍了ATT&CK中侦察、资源开发、初始访问战术理论知识及实战研究,本期我们为大家介绍ATT&CK 14项战术中的执行战术前6项技术内容,下期介绍执行战术后6项技术内容,敬请关注。
ATT&CK v12版本战术介绍持久化(三)
ducc20180301的博客
03-03 579
在前几期文章中我们介绍了ATT&CK中侦察、资源开发、初始访问、执行战术持久化战术(一)及()知识,本期我们为大家介绍ATT&CK 14项战术持久化战术(三)涉及的剩余子技术,后续会陆续介绍其他战术内容,敬请关注。
ATT&CK v10版本战术介绍—持久化(一)
ducc20180301的博客
02-04 662
本期主要介绍了持久化战术前6项子技术理论知识,下期将给大家介绍持久化战术其他子技术。敬请关注。
ATT&CK v12版本战术介绍——提权(一)
ducc20180301的博客
03-10 457
在前几期文章中我们介绍了ATT&CK中侦察、资源开发、初始访问、执行、持久化战术理论知识及实战研究,通过实战场景验证行之有效的检测规则、防御措施,本期我们为大家介绍ATT&CK 14项战术中提权战术(一),包括提权前6项子技术,后续会介绍提权其他子技术,敬请关注。
ATT&CK v12版本战术介绍——防御规避(三)
ducc20180301的博客
04-14 374
在前几期文章中我们介绍了ATT&CK中侦察、资源开发、初始访问、执行、持久化、提权战术、防御规避部分理论知识及实战研究,本期我们为大家介绍ATT&CK 14项战术中防御规避战术技术第13-18种技术,后续会介绍防御规避其他子技术,敬请关注。
网络安全能力成熟度模型介绍
最新发布
ducc20180301的博客
06-26 9634
经过多年网络安全工作,一直缺乏网络安全的整体视角,网络安全的全貌到底是什么,一直挺迷惑的。目前网络安全的分类和厂家非常多,而且每年还会冒出来不少新的产品。但这些产品感觉还是像盲人摸象,只看到网络安全的一个点,而不是一个整体。最近无意看到了网络安全能力成熟度模型(C2M2),有种相见恨晚的感觉。它是一套自成体系的模型,内容比较全面,更贴近企业落地。它的目的是帮助所有一定规模的组织评估和改进其网络安全,并加强其运营弹性。
ATT&CK v10版本战术介绍—资源开发
ducc20180301的博客
04-15 5685
在前两期文章中我们介绍了ATT&CK中侦察战术理论知识及实战研究,通过实战场景验证行之有效的检测规则、防御措施,本期我们为大家介绍ATT&CK 14项战术中资源开发战术,后续会陆续介绍其他战术内容,敬请关注。
ATT&CK v10版本战术实战研究--侦察
ducc20180301的博客
04-02 5042
上篇文章《ATT&CK V10版本战术介绍-侦察》中介绍了侦察的一些理论知识,本章主要对侦察进行技术验证。侦察包括涉及对手主动或被动收集可用于支持目标定位的信息的技术。
ATT&CK v10版本战术介绍-初始访问
ducc20180301的博客
04-24 4694
在前几期文章中我们介绍了ATT&CK中侦察及资源开发战术理论知识及实战研究,通过实战场景验证行之有效的检测规则、防御措施,本期我们为大家介绍ATT&CK 14项战术中初始访问战术,后续会陆续介绍其他战术内容,敬请关注。
系统监视器(Sysmon)工具的使用
ducc20180301的博客
08-03 4278
一、Sysmon介绍 Sysmon是由Windows Sysinternals出品的一款Sysinternals系列中的工具。系统监视器(Sysmon)是Windows系统服务和设备驱动程序,一旦安装在系统上,便会驻留在系统重新引导期间,以监视系统活动并将其记录到Windows事件日志中。它提供有关进程创建,网络连接以及文件创建时间更改的详细信息。可以使用相关日志收集工具,收集事件并随后对其进行分析,可以识别恶意或异常活动,并了解入侵者和恶意软件如何在您的网络上运行。 Sysmon包括以下功能: 1、
ATT&CK v10版本战术介绍—侦察
ducc20180301的博客
02-18 4200
在上一篇文章《2021 ATT&CK v10版本更新指南》中我们整体介绍了什么是ATT&CKATT&CK发展历史、应用场景、v10版本更新说明等内容,本期我们为大家介绍ATT&CK 14项战术中开篇侦察战术,后续会陆续介绍其他的战术内容,敬请关注。
网络设备中的日志分析
ducc20180301的博客
07-27 4062
一、引言 前几期我们介绍了关于主机的相关日志分析和威胁场景,介绍了基于账号登陆异常的检测,基于账号异常行为的检测,基于数据泄露/篡改的检测,基于进程异常的检测。本期我们将介绍对于网络设备中相关的日志进行分析。 、分析检测 1.交换机端口状态频繁改变 告警发生场景:一般情况而言,交换机的端口在被使用时为UP状态,未使用时为Down状态。如果状态频繁改变,会给网络链路和数据传送带来影响。 攻击方式:交换机端口物理线路问题或端口工作方式以及或者为环路状态。 检测思路:可以通过人工查看原始的交换机
日志如何采集?
ducc20180301的博客
05-24 3931
引言 日志是人类关于日常生活的一个记录,也是机器运作时对于事件发生的报告。关于网络设备、系统及服务程序等,在运作时都会产生一个叫log的事件记录;每一行日志都记载着日期、时间、使用者及动作等相关操作的描述。当遇到安全攻击事件时,日志能协助进行安全事件还原,能尽快找到事件发生的时间、原因等,通过大量不同安全设备的联动,日志可以关联分析监测真正有威胁的攻击行为,还原出真实的攻击情况。日志可以反应出很多的安全攻击行为,比如登录错误,异常访问等。日志还能告诉你很多关于网络中所发生事件的信息,包括性能信息、故障检测和
2021 ATT&CK v10版本更新指南
ducc20180301的博客
12-06 3669
MITRE ATT&CK 是一个全球可访问的基于现实世界观察的对手战术和技术知识库。ATT&CK 知识库被用作在私营部门、政府以及网络安全产品和服务社区中开发特定威胁模型和方法的基础。
安全产品的核心逻辑-IPS/IDS
ducc20180301的博客
08-04 2820
概述 在《软件定义安全》中介绍了,所有的安全产品本质上就是对安全业务的软件开发,在《安全产品的核心逻辑-防火墙》中介绍了防火墙的核心点和核心逻辑。本文介绍ips/ids的核心内容和核心逻辑。 一、IPS/IDS作用 IPS(Intrusion Prevention System)入侵防御系统,部署在网络入口,一般放在防火墙后面,通过分析网络流量,检测攻击行为,并实时阻断攻击行为,保护企业信息系统不受侵害。IDS(Intrusion Detection System)入侵检测系统,和IPS的主要差异
资产管理的难点
ducc20180301的博客
07-27 1880
引言 在《安全建设的任务》一文提到了安全建设的一个很重要的任务是资产管理,但是在和很多客户沟通的过程中发现,资产管理很难做。那为什么资产管理难做呢?本文主要分析这块内容,并提出一些参考做法。 资产管理的一些术语: 配置管理数据库(CMDB):Configuration Management Database 它是一种包含每一个配置项全部关联细节以及配置项之间重要关联细节的数据库 配置项(CI):Configuration Item 配置项信息覆盖了企业网络中的应用、操作系统、补丁、.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值