階段二：Execution（執行）

執行

Execution

Command and Scripting Interpreter

Exploitation for Client Execution

Inter-Process Communication

Native API

Scheduled Task/Job

Shared Modules

Software Deployment Tools

System Services

User Execution

Windows Management Instrumentation

執行（惡意程式）

於命令列執行命令和腳本

利用客戶端程式執行

應用程式間通訊共享資料執行

利用本機應用軟體介面執行

利用任務/工作排程執行

利用有弱點的共享程式模組

軟體部署工具

系統服務

網路釣魚

視窗管理監測

第二個階段是執行「惡意程式代碼」，利用各種可行機制，讓使用者的系統執行駭客讓使用者執行的程式。可用途逕像是網路釣魚、受信任的軟體部署工具、有弱點的共享程式模組等管道。

階段一：Initial Access（入侵初期）

 State 1

入侵初期

Initial Access

Drive-by Compromise

Exploit Public-Facing Application

External Remote Services

Hardware Additions

Phishing

Replication Through Removable Media

Supply Chain Compromise

Trusted Relationship

Valid Accounts

入侵初期

受駭網頁驅動（偷渡式下載）

面向公眾的應用程式

外部遠程服務（連接）

硬件附加（惡意功能）

網絡釣魚

通過可移動媒體複製（下毒）

供應鏈攻擊

透過受信任的合作方（程式）

透過現有有效帳戶

入侵初期，駭客的工作重點在於尋找被駭系統信任的突破點，無論是透過偷渡、供應鏈、合作廠商，都是系統預設比較信任的帳號。

ATT

 

				顛覆信任控制
				模板注入
				交通信號
				受信任的開發人員實用程序代理執行
				使用備用身份驗證材料
				有效帳號
				虛擬化/沙盒規避
				XSL腳本處理

For New Customers