一、前言
前几期文章中,我们介绍了ATT&CK中侦察、资源开发、初始访问、执行战术、持久化战术的知识。那么从前文中介绍的相关持久化子技术来开展测试,进行更深一步的分析。本文主要内容是介绍攻击者在运用持久化子技术时,在相关的资产服务器或者在PC机器上所产生的特征数据进行分析,使安全运维人员在后续工作中应当如何去进行预防和快速响应。
二、持久化战术
1、后门账户
1.1 介绍
攻击者可以创建一个后门账户,此后门账户用来维持对受害系统的持久性访问。同时将后门账户进行隐藏,日常操作中,无法发现此账户的存在。
1.2 Windows资产后门账号事件
a)重要资产发生异常账户创建
b)异常账户注册表键值被篡改文章来源:https://www.toymoban.com/news/detail-436829.html
根据对异常账户创建事件的监控,对应到异常账户在注册表中对应的键值,监控该键值的篡改操作,进行更细粒度化监控。文章来源地址https://www.toymoban.com/news/detail-436829.html
到了这里,关于ATT&CK v12版本战术实战研究—持久化(二)的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!