1、Abuse Elevation
Control Mechanism(高权限账户滥用,T1548)
攻击者可通过绕过权限提升的控制机制,以获取更高级别的权限。大多数现代系统都包含本地权限提升控制机制,限制用户在计算机上执行的特权。必须向特定用户授权才能执行更高风险的任务。攻击者可以执行多种方法,利用内置的控制机制来提升权限。
2、Access Token Manipulation(访问令牌操纵,T1134)
攻击者可通过修改访问令牌,以在不同的用户或系统安全上下文中绕过访问控制并执行命令。Windows使用访问令牌来确定正在运行的进程的所有权。用户可以操纵访问令牌,使运行中的进程看起来像是另一个进程的子进程,或者属于启动该进程的用户以外的其他人。当发生这种情况时,该进程也将采用与新令牌相关联的安全上下文。
3、Account Manipulation(账户操纵,T1098)
攻击者可通过操纵账户以维持或提升对被入侵系统的访问权限。账户操纵包括攻击者对失陷账户的保留或修改等动作,例如:修改凭据或权限组。这些动作还可能包括破坏安全策略的账户活动,例如:执行迭代密码更新以绕过密码有效期策略并延长失陷凭据的生命周期。
4、Boot or Logon Autostart Execution(启动或登陆时自启动执行,T1547)
攻击者可通过配置系统设置在系统启动或登录时自动执行程序,以便在被入侵的系统上获得持久化或更高级别的权限。操作系统可能具有在系统启动或帐户登录时自动运行程序的机制。这些机制包括自动执行放置在特定目录中的程序、库中配置信息引用的程序,例如Windows注册表。攻击者可以通过修改或扩展内核的功能来实现相同的目标。
5、Boot or Logon Initialization Scripts(启动或登陆时初始化脚本,T1037)
攻击者可能在启动或登录初始化时自动执行脚本来建立持久化。初始化脚本可用于执行管理功能,通常会执行其他程序或将信息发送到内部日志服务器。这些脚本可能因操作系统和本地/远程应用而有所不同。
6、Create or Modify System Process(创建或修改系统进程,T1543)
攻击者可能创建或修改系统进程,以重复执行恶意载荷作为持久化的一部分。当操作系统启动时,它们可以启动执行后台系统功能的进程。在Windows和Linux上,这些系统进程被称为服务。在macOS上,launchd进程(称为Launch Daemon和Launch Agent)用于完成系统初始化和加载用户特定参数。
7、Domain Policy Modification(域策略修改,T1484)
攻击者可能通过修改域配置,以逃避防御措施或在域环境中提升权限。域提供了一种集中管理计算机资源在网络上如何操作和交互的方式(例如计算机、用户帐户)。域策略还包括适用于多域或域林环境中域之间的配置。对域设置的修改可能包括更改域组策略对象(GPO)或更改域的信任设置,包括联合信任。
8、Escape to Host(主机逃逸,T1611)
攻击者可能会打破容器以访问底层主机。这可以让攻击者从主机层面访问其他容器化资源或主机本身。原则上,容器化资源应该提供清晰的应用功能分离,并与主机环境隔离。
9、Event Triggered Execution(触发事件执行,T1546)
攻击者可能会利用系统机制,在特定事件触发时,建立持久化或者提升权限。各种操作系统都有监视和触发事件的方式,例如登录或其他用户活动(如运行特定应用程序/二进制文件)。云环境也可以支持各种函数和服务,可以在特定云事件发生时监视并调用这些服务。
10、Exploitation for Privilege Escalation(权限提升漏洞利用,T1068)
攻击者可能会利用软件漏洞试图提升权限。在利用软件漏洞时,攻击者利用程序、服务或操作系统软件本身的程序错误来执行受攻击者控制的代码。安全防护体系(如权限级别)通常会限制对信息的访问和使用某些技术,因此攻击者可能需要进行提权操作,包括利用软件漏洞来绕过这些限制。
11、Hijack Execution Flow(执行流程劫持,T1574)
攻击者可能通过劫持操作系统运行程序的方式来执行恶意载荷。劫持执行流程可能是为了实现持久性,因为这种劫持的执行可能会随时间再次发生。攻击者还可以利用这些机制提升权限或逃避防御措施,如应用程序控制或其他执行限制。
12、Process Injection(进程注入,T1055)
攻击者可将代码注入到进程,以逃避基于进程的防御措施并提升权限。进程注入是一种在独立活动进程的地址空间中执行任意代码的方法。在另一个进程的上下文中运行代码可能允许访问该进程的内存、系统/网络资源,并且可能获得权限提升。通过进程注入进行执行还可能逃避安全产品的检测,因为执行是伪装在合法进程下进行的。
13、Scheduled Task/Job(计划任务,T1053)
攻击者可通过任务调度功能来初始化或重复执行恶意代码。所有主流操作系统中都提供计划任务功能,即程序或脚本在指定日期和时间执行。只要满足适当的身份验证,也可以在远程系统上安排任务(例如:在Windows环境中使用RPC和文件打印机共享)。通常,远程系统上的管理员或特权组中的用户,才能在远程系统上运行计划任务。
14、Valid Accounts(有效账户,T1078)
攻击者可通过获取并使用现有账户的凭证,达到获取初始访问权限、持久化、权限提升或防御机制绕过等目的。该凭证可能被用于绕过对网络中系统上各种资源的访问控制,甚至可以用于持久访问远程系统和外部可用服务,如VPN、Outlook Web Access、网络设备和远程桌面。该凭证还可能授予攻击者特定系统更高的权限或网络受限区域的访问权限。攻击者可能选择恶意软件或工具不与凭证的合法访问权限结合使用,以增加发现其存在的难度。
网友评论