ATT&CK-CN V1.01 Last Update: 2019-11 [返回索引页]

译者: 林妙倩(清华大学网络研究院网络空间安全实习生)、戴亦仑(赛宁网安) 原创翻译作品,如果需要转载请取得翻译作者同意。

数据来源:ATT&CK Matrices

原文: https://attack.mitre.org/techniques/T1080

术语表: /attack/glossary

污染共享内容

存储在网络驱动器或其他共享位置上的内容可能被污染,通过添加恶意程序、脚本或漏洞利用代码到其他有效文件中。 一旦用户打开受污染的共享内容,就会执行恶意部分内容,从而在远程系统上运行攻击者的代码。 攻击者可以使用受污染的共享内容来横向移动。 目录共享 pivot 是该技术的变体,当用户访问共享网络目录时,它使用其他几种技术传播恶意软件。 它利用快捷方式修改。LNK 文件的目录,使用伪装 (Masquerading)技术使其看起来像真实的目录,这些目录通过隐藏文件和目录技术(Hidden Files and Directories)进行隐藏。 基于恶意。LNK 的目录具有嵌入式命令,该命令执行目录中隐藏的恶意程序文件,再打开实际的目标目录,所以仍然会发生用户的预期操作。 当与经常使用的网络目录结合使用时,该技术可能导致频繁的重新感染和对系统以及潜在的新账户和更高特权的帐户的广泛访问。

缓解

通过最小化具有写访问权限的用户来保护共享文件 使用可检测或缓解漏洞利用中的常见技术的实用程序,例如 Microsoft 增强的缓解体验工具包 (EMET)。 使用不需要网络文件和目录共享的基于 Web 的文档管理和协作服务,以降低潜在的横向移动风险。 识别可能用于污染内容或由污染内容导致的潜在恶意软件,并在适当的情况下通过使用白名单 工具(如 AppLocker、 或软件限制策略 ) 审计和/或拦截这些未知程序。

检测

在网络共享目录中写入或覆盖许多文件的进程可能是可疑的。 监视从可移动媒体执行的进程,以监视由于命令与控制(Command and Control)以及可能的网络披露(Discovery)技术而导致的恶意或异常活动,如网络连接。 定期扫描共享网络目录以查找恶意文件、隐藏文件、.lnk 文件和其他通常不在用于共享特定类型内容的目录中的文件类型。