ATT&CK-CN V1.01 Last Update: 2019-11 [返回索引页]

译者: 林妙倩(清华大学网络研究院网络空间安全实习生)、戴亦仑(赛宁网安) 原创翻译作品,如果需要转载请取得翻译作者同意。

数据来源:ATT&CK Matrices

原文: https://attack.mitre.org/techniques/T1203

术语表: /attack/glossary

利用客户端执行

软件可能因为不安全的编码实践而出现漏洞,从而导致非预期行为。 攻击者可以通过有针对性的利用某些漏洞来达到任意代码执行的目的。 通常,对于攻击工具最有价值的 exploit 是那些可用于在远程系统上获取代码执行的,因为它们可用于访问该系统。 用户希望看到与他们工作时常用的应用程序相关的文件,因此它们具有高实用性,是漏洞利用研究和发展的有效目标, 存在以下几种类型:

基于浏览器的利用

网络浏览器是路过式攻击和鱼叉式钓鱼链接的常见目标。 终端系统可能通过正常的网络浏览或某些用户受到攻击,这些用户被鱼叉式钓鱼电子邮件中的链接定向到用于利用网络浏览器的攻击者控制的网站。 这通常不需要用户操作就可以执行 exploit。 O### ffice 应用程序 常见的办公和生产力应用程序,如 Microsoft office,也是鱼叉式网络钓鱼附件、鱼叉式网络钓鱼链接和通过服务的鱼叉式网络钓鱼的目标。 恶意文件将以附件或下载链接的形式直接传输以下载它们。 这要求用户打开文档或文件以便执行 exploit 。

常见的第三方应用程序

其他常见应用程序或在目标网络中部署的软件的一部分也可以用于漏洞利用。 诸如 Adobe Reader 和 Flash 之类的应用程序(企业环境中常见的应用程序)通常是试图访问系统的攻击者的目标。 一些漏洞可能在浏览器中被利用或需要用户打开文件,具体取决于软件和漏洞的性质。 例如,一些 Flash exploit 已经作为 Microsoft Office 文档中的对象传递。

缓解

可以使用浏览器沙箱来缓解漏洞利用的一些影响,但是可能仍然存在沙箱逃逸。

其他类型的虚拟化和应用程序微分段 (microsegmentation ) 也可以减轻客户端漏洞利用的影响。 实施中可能还存在其他漏利用和缺陷的风险。

查找漏洞利用过程中的行为的安全应用程序,如 Windows Defender Exploit Guard (WDEG) 和 Enhanced Mitigation Experience Toolkit (EMET),可以用来缓解某些漏洞利用行为。 控制流完整性校验是另一种可能识别和拦截软件漏洞利用的方法。 许多这些保护依赖于体系结构和目标应用程序二进制文件以实现兼容性。

检测

检测软件漏洞利用可能比较困难,具体取决于可用的工具。 还要在终端系统上查找可能标志成功攻击的行为,例如浏览器或 Office 进程的异常行为。 这可能包括写入磁盘的可疑文件、有关尝试隐藏执行的进程注入的证据、有关披露技术 (Discovery) 的证据,或者其他异常网络流量,可能表明其他工具被引入系统。