ATT&CK-CN V1.0 Last Update: 2019-03 [返回索引页]

译者: 林妙倩(清华大学网络研究院网络空间安全实习生) 原创翻译作品,如果需要转载请取得翻译作者同意。

数据来源:ATT&CK Matrices

原文: https://attack.mitre.org/techniques/T1211

术语表: /attack/glossary

防御规避的利用

软件漏洞利用指的是攻击者利用程序,服务或操作系统软件或内核本身中的编程错误来执行攻击者控制的代码。 防御性安全软件中可能存在漏洞,可用于禁用或绕过它们。 通过侦察,攻击者可能事先知道某个环境中存在的安全软件,或者在系统受到安全软件披露 (Security Software Discovery) 攻击期间或之后不久检查安全软件。 很可能将安全软件直接作为漏洞利用的目标。 为了避免被发现,一些持续性威胁组织以杀毒软件为目标。

缓解

使用补丁管理定期更新内部企业终端和服务器的软件。 开发强大的网络威胁情报功能,以确定针对特定组织的软件攻击和 0day 中可能使用的威胁类型和级别。 如果可以,使用沙盒使攻击者难以通过利用未发现或未修补的漏洞来推进他们的行动。 其他类型的虚拟化和应用程序微分段也可以减轻某些漏洞利用的影响。 实施中可能还存在其他漏利用和缺陷的风险。

查找漏洞利用过程中的行为的安全应用程序,如 Windows Defender Exploit Guard (WDEG) 和 Enhanced Mitigation Experience Toolkit (EMET),可以用来缓解某些漏洞利用行为。 控制流完整性校验是另一种可能识别和拦截软件攻击的方法。 这些保护许多依赖于体系结构和目标应用程序二进制文件以实现兼容性,并且可能不适用于针对防御规避的软件。

检测

在系统遭到破坏后不久可能会发生防御逃避的攻击,以防止检测到后续行动中可能引入和使用的其他工具。 检测软件漏洞利用可能比较困难,具体取决于可用的工具。 软件漏洞利用可能并不总是成功,或可能使漏洞利用过程不稳定或崩溃。 还要在系统上查找可能表明成功攻击的行为,例如进程的异常行为。 这可能包括写入磁盘的可疑文件、试图隐藏执行的进程注入( Process Injection)证据或披露(Discovery)证据。