2020年10月17日星期六

階段四:權限提升(Privilege Escalation)

權限提升

 Privilege Escalation

 Abuse Elevation Control Mechanism

 Access Token Manipulation

 Boot or Logon Autostart Execution

 Boot or Logon Initialization Scripts

 Create or Modify System Process

 Event Triggered Execution

 Exploitation for Privilege Escalation

 Group Policy Modification

 Hijack Execution Flow

 Process Injection

 Scheduled Task/Job

 Valid Accounts

 濫用提升帳號權限機制

 操縱存取Token

 開機或登錄時自動執行程式

 開機或登錄時自動執行腳本

 建立或修改(惡意)系統程式

 事件觸發(執行程式)

 利用漏洞提升權限

 修改群組政策

 劫持作業系統應用程式

 將代碼注入Process(系統程序)

 排程任務/工作

 獲取與濫用現有有效帳號









2020年10月10日星期六

階段三: Persistence韌性(保持立足點)

 

韌性(保持立足點)

 Persistence

 Account Manipulation

 BITS Jobs

 Boot or Logon Autostart Execution

 Boot or Logon Initialization Scripts

 Browser Extensions

 Compromise Client Software Binary

 Create Account

 Create or Modify System Process

 Event Triggered Execution

 External Remote Services

 Hijack Execution Flow

 Office Application Startup

 Pre-OS Boot

 Scheduled Task/Job

 Server Software Component

 Traffic Signaling

 Valid Accounts

 帳戶操緃

 Windows後台智能傳輸服務

 開機或登錄時自動啟動執行

 開機或登錄時初始化腳本

 瀏覽器擴充元件

 客戶端二進制軟體竄改

 創建帳號

 創建或修改系統程序

 事件觸發執行

 外部遠端服務

 劫持執行程式

 Office應用程式啟動時執行

 作業系統啟動前執行

 計劃任務/工作

 伺服器軟體組件

 開啟通訊埠信號

 有效帳號







2020年9月26日星期六

階段二:Execution(執行)

執行

 Execution

 Command and Scripting Interpreter

 Exploitation for Client Execution

 Inter-Process Communication

 Native API

 Scheduled Task/Job

 Shared Modules

 Software Deployment Tools

 System Services

 User Execution

 Windows Management Instrumentation

 執行(惡意程式)

 於命令列執行命令和腳本

 利用客戶端程式執行

 應用程式間通訊共享資料執行

 利用本機應用軟體介面執行

 利用任務/工作排程執行

 利用有弱點的共享程式模組

 軟體部署工具

 系統服務

 網路釣魚

 視窗管理監測



第二個階段是執行「惡意程式代碼」,利用各種可行機制,讓使用者的系統執行駭客讓使用者執行的程式。可用途逕像是網路釣魚、受信任的軟體部署工具、有弱點的共享程式模組等管道。





2020年9月20日星期日

階段一:Initial Access(入侵初期)

 State 1

入侵初期

 Initial Access

 Drive-by Compromise

 Exploit Public-Facing Application

 External Remote Services

 Hardware Additions

 Phishing

 Replication Through Removable Media

 Supply Chain Compromise

 Trusted Relationship

 Valid Accounts

 入侵初期

 受駭網頁驅動(偷渡式下載)

 面向公眾的應用程式

 外部遠程服務(連接)

 硬件附加(惡意功能)

 網絡釣魚

 通過可移動媒體複製(下毒)

 供應鏈攻擊

 透過受信任的合作方(程式)

 透過現有有效帳戶


入侵初期,駭客的工作重點在於尋找被駭系統信任的突破點,無論是透過偷渡、供應鏈、合作廠商,都是系統預設比較信任的帳號。








2020年9月6日星期日

ATT

 








顛覆信任控制
模板注入
交通信號
受信任的開發人員實用程序代理執行
使用備用身份驗證材料
有效帳號
虛擬化/沙盒規避
XSL腳本處理

For New Customers

 







資訊資產盤點

 https://forms.gle/KP7VuzdRgFyT3kqX9 https://docs.google.com/spreadsheets/d/1JrCSUoK8DFm4SloUYkofqvYNdy3ArDy7gQ376vT-6HQ/edit?usp=sharing