ATT&CK-CN V1.01 Last Update: 2019-11 [返回索引页]

译者: 林妙倩(清华大学网络研究院网络空间安全实习生)、戴亦仑(赛宁网安) 原创翻译作品,如果需要转载请取得翻译作者同意。

数据来源:ATT&CK Matrices

原文: https://attack.mitre.org/techniques/T1068

术语表: /attack/glossary

利用特权提升

软件漏洞利用指的是攻击者利用程序,服务或操作系统软件或内核本身中的编程错误来执行攻击者控制的代码。诸如权限级别之类的安全结构通常会阻碍攻击者对信息的访问和某些技术的使用,因此可能需要特权提升以包括使用软件开发,从而绕过这些限制。

最初获取对系统的访问权时,攻击者可能正在一个权限较低的进程中操作,这将阻止他们访问系统上的某些资源。系统可能存在漏洞,通常在一般以更高权限运行的操作系统组件和软件中,可以利用这些漏洞在系统上获得更高级别的访问权限。这可使攻击者从非特权或用户级权限转移到 SYSTEM 或 root 权限,具体取决于易受攻击的组件。对于已经正确配置并限制了其他特权提升方法的终端系统,这可能是攻击者攻击终端系统的必要步骤。

缓解

使用补丁管理定期更新内部企业终端和服务器的软件。开发强大的网络威胁情报功能,以确定针对特定组织的软件攻击和 0day 中可能使用的威胁类型和级别。如果可以,使用沙盒使攻击者难以通过利用未发现或未修补的漏洞来推进他们的行动。其他类型的虚拟化和应用程序微分段也可以减轻某些客户端漏洞利用的影响。实施中可能还存在其他漏利用和缺陷的风险。

查找漏洞利用期间使用的行为的安全应用程序,例如 Windows Defender Exploit Guard (WDEG) 和增强的缓解体验工具包 (EMET),可以用来缓解一些漏洞利用。 控制流完整性校验是另一种可能识别和拦截软件攻击的方法。 这些保护许多依赖于体系结构和目标应用程序二进制文件以实现兼容性,并且可能不适用于针对权限提升的软件组件。

检测

检测软件漏洞利用可能很困难,取决于可用的工具。软件漏洞利用可能并不总是成功或可能导致漏洞利用过程不稳定或崩溃。还要在终端系统上查找可能表明成功攻击的行为,例如进程的异常行为。这可能包括写入磁盘的可疑文件、试图隐藏执行的进程注入(Process Injection)证据或披露(Discovery)证据。

通常需要更高的权限来执行其他操作,例如某些凭据转储方法。查找可能表明攻击者获得更高权限的其他活动。