ATT&CK-CN V1.0 Last Update: 2019-03 [返回索引页]

译者: 林妙倩(清华大学网络研究院网络空间安全实习生) 原创翻译作品,如果需要转载请取得翻译作者同意。

数据来源:ATT&CK Matrices

原文: https://attack.mitre.org/techniques/T1204

术语表: /attack/glossary

用户执行

攻击者可以依靠用户的特定操作来获得执行。 这可以是直接代码执行,例如当用户打开鱼叉式钓鱼附件 (Spearphishing Attachment) 传递的恶意可执行文件时,该文件带有图标和文档的明显文件扩展名。 它还可能导致其他执行技术,例如当用户单击通过鱼叉式钓鱼链接 (Spearphishing Link) 传递的链接,从而通过客户端执行利用(Exploitation for Client Execution)实现对浏览器或应用程序的漏洞利用。 虽然用户执行 (User Execution) 通常发生在初始访问(Initial Access)不久之后,但也可能发生在入侵的其他阶段,例如当攻击者将文件放置在共享目录中或用户桌面,希望用户单击它时。

缓解

培训用户使其提高对常见网络钓鱼和鱼叉式网络钓鱼技术的认识,以及提高对潜在恶意事件的怀疑意识。 应用程序白名单可以拦截伪装成其他文件的可执行文件的运行。 如果用户正在访问链接,则默认或根据策略阻止下载传输中来自可疑网站的未知或未使用的文件,以作为阻止某些载体的最佳实践,例如。scr,.exe,.pif,某些下载扫描设备可以打开和分析压缩和加密格式,例如可用于隐藏混淆文件或信息中的恶意文件的 zip 和 rar, 如果用户正在访问链接,则可以使用网络入侵防御系统和旨在扫描和删除恶意下载的系统来拦截活动。 解决方案可以是基于签名和行为的,但是攻击者可能以某种方式构造文件来绕过这些机制。

检测

监视攻击者可能用于获取需要用户交互的初始访问的应用程序的执行和命令行参数。 这包括压缩应用程序,例如用于 zip 文件的压缩应用程序,可用于对 payload 中的文件或信息进行解混淆/解码。 杀毒软件可以检测用户电脑上下载和执行的恶意文档和文件。 终端检测或网络检测可以在打开文件(例如可以连接到 internet 或生成 Powershell.exe 的 Microsoft Word 文档或 PDF 文件)时潜在地检测恶意事件,这些事件与客户端执行和脚本的漏洞利用等技术有关。