ATT&CK-CN V1.0 Last Update: 2019-03 [返回索引页]

译者: 林妙倩(清华大学网络研究院网络空间安全实习生) 原创翻译作品,如果需要转载请取得翻译作者同意。

数据来源:ATT&CK Matrices

原文: https://attack.mitre.org/techniques/T1212

术语表: /attack/glossary

凭据访问的利用

软件漏洞利用指的是攻击者利用程序,服务或操作系统软件或内核本身中的编程错误来执行攻击者控制的代码。 攻击者可以利用认证和身份验证机制,从而获取有用的凭据,或者绕过认证过程以获取系统访问权。 其中一个例子是 MS14-068,它以 Kerberos 为目标,可用于通过域用户权限伪造 Kerberos 票证。 对凭据访问的利用还可能导致提权 (Privilege Escalation),具体取决于目标进程或获得的凭据。

缓解

使用补丁管理定期更新内部企业终端和服务器的软件。 开发强大的网络威胁情报功能,以确定针对特定组织的软件攻击和 0day 中可能使用的威胁类型和级别。 如果可以,使用沙盒使攻击者难以通过利用未发现或未修补的漏洞来推进他们的行动。 其他类型的虚拟化和应用程序微分段也可以减轻某些漏洞利用的影响。 实施中可能还存在其他漏利用和缺陷的风险。

查找漏洞利用过程中的行为的安全应用程序,如 Windows Defender Exploit Guard (WDEG) 和 Enhanced Mitigation Experience Toolkit (EMET),可以用来缓解某些漏洞利用行为。 控制流完整性校验是另一种可能识别和拦截软件攻击的方法。 这些保护许多依赖于体系结构和目标应用程序二进制文件以实现兼容性,并且可能不适用于针对防御规避的软件。

检测

检测软件漏洞利用可能比较困难,具体取决于可用的工具。 软件漏洞利用可能并不总是成功,或可能使漏洞利用过程不稳定或崩溃。 还要在系统上查找可能表明成功攻击的行为,例如进程的异常行为 通过漏洞利用获得的凭据资源被异常使用或出现,则可以检测到。