01  定义与手法

       攻击者可能利用系统或应用程序漏洞绕过安全功能。当攻击者利用程序、服务或操作系统软件或内核本身中的编程错误来执行攻击者控制的代码时,就可进行漏洞利用。防御性安全软件中可能存在漏洞,可用于禁用或绕过它们。

        攻击者通过预先探查可以知道环境中存在安全软件,或者他们也可能在系统被破坏期间或之后不久、对环境进行检查,从而发现安全软件。安全软件很可能成为直接被利用的目标。有一些杀毒软件被威胁组织盯上以逃避检测的例子。

        在SaaS应用程序的公共云基础设施中也有漏洞的例子,这些漏洞可能绕过防御边界、逃避安全日志或隐藏部署的基础设施。

02  程序实例

03  缓解措施

名称

描述

应用程序隔

离和沙箱

  • 通过使用沙箱,使攻击者难以利用未发现或未修补的漏洞来推进其操作。其他类型的虚拟化和应用程序微分段也可以减轻某些类型被利用的影响。这些系统中可能仍然存在其他漏洞和弱点的风险。

利用保护

  • 可以使用Windows Defender Exploit Guard (WDEG)和Enhanced Mitigation Experience Toolkit (EMET)等安全应用程序来查找利用过程中使用的行为,以减轻某些利用行为。控制流完整性检查是潜在识别和阻止软件漏洞利用发生的另一种方法。这种保护中有很多依赖于体系结构和目标应用程序二进制文件的兼容性,并且可能不适用于以防御逃避为目标的软件。

威胁情报计划

  • 开发强大的网络威胁情报能力,以确定可能对特定组织使用软件漏洞和零日攻击的威胁类型和级别。

软件更新

  • 通过对企业内部端点和服务器进行补丁管理,定期更新软件。

04  检测方法

ID

数据来源

数据组件

检测方式

DS0015

应用程

序日志

应用日

志内容

利用防御逃避可能发生在系统被破坏后不久,以防止在以后的行动中发现可能引入和使用的其他工具。根据可用的工具,检测软件利用可能很困难。软件漏洞可能并不总是成功,或者可能导致被利用的进程变得不稳定或崩溃。

DS0009

进程

进程

创建

监视异常的进程创建,例如从可能被利用的应用程序生成的命令和脚本解释器。还要查找系统上可能表明成功攻击的行为,例如进程的异常行为。

**参考来源:ATT&CK,胖头鱼编译,欢迎转载,转载请注明出处,非常感谢~~

关于我们

        云纷科技自成立以来,就把成为交付“监测-分析-响应”完整能力闭环的下一代MSSP作为自己的使命。我们将“安全运营中心(SOC)”分层分解,以更灵活的模块化方式交付“下一代安全运营服务”;高效整合人、技术和流程。基于云原生和人工智能的安全运营平台——InsightX,为不同的企业客户提供符合现状和中远期发展的安全运营能力。

        云纷希望在为客户建立运营体系的同时,结合自身对于安全的理解和知识,以“实践+数据+AI”重塑安全运营链路,最终帮助用户清晰定位威胁、降低风险,提高整体安全水平。

Categories:

Tags:

Comments are closed

沪公网安备31010402005736号