ATT&CK-CN V1.0 Last Update: 2019-03 [返回索引页]

译者: 林妙倩(清华大学网络研究院网络空间安全实习生) 原创翻译作品,如果需要转载请取得翻译作者同意。

数据来源:ATT&CK Matrices

原文: https://attack.mitre.org/techniques/T1210

术语表: /attack/glossary

远程服务的利用

软件漏洞利用是指攻击者利用程序、服务或操作系统软件或内核本身的编程错误来执行攻击者控制的代码时。 远程服务利用的后渗透攻击的一个常见目标是横向移动以获得对远程系统的访问。 攻击者可能需要确定远程系统是否处于一个易受攻击的状态,这可能是通过网络服务扫描 (Network Service Scanning ) 或其他披露技术,披露常见,易受攻击的软件,这些软件可能被部署在网络,缺少一定的补丁从而可能存在漏洞,或用于检测或包含远程利用的安全软件。 服务器很可能是横向移动利用的高价值目标,但是提供优势或对额外资源访问权的终端系统也可能面临风险。 SMB 和 RDP 等常见服务,以及 MySQL 和 Web 服务器服务等可能在内部网络中使用的应用程序存在一些众所周知的漏洞,

攻击者也可以通过横向移动利用技术 (Exploitation for Privilege Escalation) 来提权,具体取决于易受攻击的远程服务的权限级别。

缓解

适当地分割网络和系统,以减少对关键系统和服务的受控方法的访问。 最小化可用的服务,只提供必要的服务。 定期扫描内部网络中可用的服务,以识别新的和潜在的易受攻击的服务。 最小化服务帐户的权限和访问,以限制漏洞利用的影响。 使用补丁管理定期更新内部企业终端和服务器的软件。 开发强大的网络威胁情报功能,以确定针对特定组织的软件攻击和 0day 中可能使用的威胁类型和级别。 如果可以,使用沙盒使攻击者难以通过利用未发现或未修补的漏洞来推进他们的行动。 其他类型的虚拟化和应用程序微分段也可以减轻某些漏洞利用的影响。 实施中可能还存在其他漏利用和缺陷的风险。

查找漏洞利用过程中的行为的安全应用程序,如 Windows Defender Exploit Guard (WDEG) 和 Enhanced Mitigation Experience Toolkit (EMET),可以用来缓解某些漏洞利用行为。 控制流完整性校验是另一种可能识别和拦截软件攻击的方法。 这些保护许多依赖于体系结构和目标应用程序二进制文件以实现兼容性,可能并不适用于所有针对的软件或服务。

检测

检测软件漏洞利用可能比较困难,具体取决于可用的工具。 软件漏洞利用可能并不总是成功,或可能使漏洞利用过程不稳定或崩溃。 还要在终端系统上查找可能表明成功攻击的行为,例如进程的异常行为。 这可能包括写入磁盘的可疑文件、有关尝试隐藏执行的进程注入的证据、有关披露技术 (Discovery) 的证据,或者其他异常网络流量,可能表明其他工具被引入系统。