TA0001 初始访问 Initial Access

已于 2022-05-06 13:54:11 修改
阅读量1.9k 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: ATT&CK框架 文章标签: 网络 安全 安全架构 web安全 系统安全
于 2022-05-05 14:59:18 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/b10d9/article/details/124589002

战术目标

战术主要是利用各种技术,在目标网络中获得最初的立足点,并确保后续能够通过立足点持续访问目标网络。

水坑攻击 Drive-by Compromise

Drive-by Compromise通常不是直接对目标系统发起攻击,而是通过对用户访问的网站的控制,对网站注入恶意代码,当目标系统的用户访问网站加载运行恶意代码后,获取目标系统的访问或获取系统上的应用访问令牌,如OAuth令牌。典型的有跨站脚本攻击(XSS)。通过水坑攻击,控制内网用户系统,获得最初的立足点。

官方给出的典型Drive-by compromise攻击过程:

1) 目标用户访问攻击者控制的网站应用。

2) 网站应用中的恶意脚本自动执行,搜索目标系统浏览器及插件的版本匹配的漏洞。

(该过程中,可能需要用户启用脚本或启用网站组件,并忽略告警信息。)

3) 确定漏洞后,传递恶意代码至浏览器。

4)执行成功后,攻击者便能够在目标系统上执行命令。

(该过程中,可能会触发目标系统上的防护措施,如杀毒软件。)

与利用互联网应用(Exploit Public-Facing Application)不同,水坑攻击通常能够使攻击者直接切入到企业内网,而不是DMZ区。

缓解措施:

1)M1048:应用程序隔离和沙盒,将恶意代码的运行限制在沙盒中。利用虚拟化或微隔离措施进行防御。

2)M1050:漏洞利用防护,安装防护软件,监控可能发生的漏洞利用过程。如Windows Defender Exploit Guard。现在的杀毒软件应该都具备。

3)M1021:限制网站内容,如安装广告拦截插件,阻止广告中可能带有的恶意代码,阻止利用过程中JavaScript的执行。

4)M1051:更新软件版本,保持浏览器软件的版本为最新,并启用浏览器的安全防护功能。

检测措施:

1)DS0015:应用日志,通过防火墙等能够检查URL的设备日志,结合威胁情报等,分析请求的资源是否是恶意域名。

2)DS0022:文件监控,监控用户在访问网站时创建的文件,关注

最低0.47元/天 解锁文章

200万优质内容无限畅学
NR Timing Advance(TA)
asd199086的博客
03-21 3404
timing advance adjustment accuracy,表示调整timing的精度,例如网络下发TAC要求UE调整32Tc,UE根据网络命令进行了32Tc的调整,但是实际上,UE并没有调整32Tc,这里就会存在误差,这就是timing advance adjustment accuracy,也就是UE调整的TA量和网络期望的TA量存在差异,这个和UE晶振精度有关系,具体的UE进行的timing调整的精度不能低于Table 7.3.2.2-1中的要求,这个精度是与上次UL传输做的对照;
NR TA
ModemProtocol的博客
12-08 570
这篇是NR TA的笔记,之前有对R17 NTN TA进行了简单总结,但是也仅仅局限在NTN部分,其他TA基本过程没有涉及,这篇是针对R16版本协议对NR TA相关内容做的总结。和PUSCH power control过程类似,NR TA也可以分为开环 和闭环调整,相关内容分散在38.300,38.211,38.213,38.321,38.133和38.331。后面就按照38.300 TA相关概念,38.211中有关TA定义,38.213 TA 相关内容,38.321 TA控制过程,38.133 Timi
ATT & CK 阶段之 Initial Access --Drive-by Compromise
sojrs_sec的博客
04-20 2269
Drive-by Compromise:通过受害者正常浏览网页去获取系统控制权限的一种技术手段。既可以通过浏览器或网页直接进行攻击,也可通过网页去获取相关认证的凭证 可选择的攻击手法 通过前端代码注入,如JS\IFrame\CSS 通过正常的广告渠道付费进行传播恶意广告内容 通过网页的交互页面插入恶意代码或对象,该代码可在其他用户端展示,如评论区、公告区 典型的攻击流程 受害者访问一个被黑客...
初始接入(Initial access)和同步(Synchronization)
Bangzhao的博客
01-03 2646
UE检测到PSS和SSS之后即获得了系统的下行同步; UE完成物理层随机接入之后,利用BS反馈的上行定时调整量获得系统的上行同步。 UE 进行小区搜索 发生时机 : UE开机或者需要进行小区切换 主要行为 : BS定期发送同步信号,UE对小区同步信号进行检测 主要结果 : 获得小区的下行同步。 (1)时间同步检测(检测出同步信号位置,检测出子帧CP类型,检测出小区ID号); (
ATT & CK 阶段之Initial Access --Exploit Public-Facing Application
sojrs_sec的博客
04-21 1729
Exploit Public-Facing Application:即攻击对外开放的服务。这些服务通常为Web,也可能是数据库、标准服务如SMB、SSH 或者其他通过sockets能访问到的服务。 可选择的攻击手法 对外开放的服务主要以Web和数据库为主,针对这两种类型,可以关注owasp top 10以及CWE top 25 Owasp top 10 注入。如sql注入,OS注入,LDAP注...
滲透测试ATT&CK攻击模型三(Initial Access 初始访问
Mr.mark的博客
07-21 2483
攻击者试图进入目标网络,使用目标网络对外暴露的各种入口在目标网络中获得立足点。获得初始访问立足点的技术主要包括网络钓鱼或利用对外开放的web服务上的漏洞等。攻击者在获得立足点后可进行持久化和权限提升操作(例如:使用外部远程服务、获取有效账户等)或修改密码进行限制目标拥有者使用。 目录 T1189 Drive-by Compromise 水坑攻击 T1190 Exploit Public-Facing Application 利用公开漏洞 T1133 External Remote Service
ATT&CK v10版本战术介绍-初始访问
ducc20180301的博客
04-24 4882
在前几期文章中我们介绍了ATT&CK中侦察及资源开发战术理论知识及实战研究,通过实战场景验证行之有效的检测规则、防御措施,本期我们为大家介绍ATT&CK 14项战术中初始访问战术,后续会陆续介绍其他战术内容,敬请关注。
ta1005-1m
05-19
'TA0001': 'Initial Access' } result = known_codes.get(code.upper(), None) if not result: return f'Error code {code} does not exist in our database.' else: return f'{code}: {result}' print...
Drive-by Compromise 术语名词概念
灰蜗牛
03-12 4579
  看资料,遇到一个术语名词,Drive-by Compromise,搜了一波资料。基本弄懂了一些。   以下,摘录一些我看的文献的节选,有空(基本不会)再翻译吧。 Technique: Drive-by Compromise - MITRE ATT&CK™ https://attack.mitre.org/techniques/T1189/ drive-by compromise A ...
Drive-by Compromise(T1189)介绍
不忘初心,护天下安全!
10-23 1411
T1189是一种针对客户端浏览器的攻击技术,类似于水坑攻击,即攻陷目标对象需要访问web页面,在该页面留下恶意代码,该页面被目标访问时完成攻击。攻击对象:用户终端。
ATT&CK(三)之ATT&CK的十四个战术
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
06-28 3426
ATT&CK矩阵从2018年的v8版本开始,战术阶段增加到14个战术(Tactics)阶段,此前为12个战术阶段,多增加了“侦查”、“资源建立”2个战术,以及“初始访问”、“执行”、“持久化”、“提权”、“防御绕过”、“凭据访问”、“发现”、“横向移动”、“收集”、“命令与控制”、“数据泄露”、“影响”12个战术。其中前面2个战术指的是PRE-ATT&CK阶段,后面12个战术指的是ATT&CK阶段。下图是v7版本的12个战术阶段下图是v12版本的14个战术阶段。
Hashcat的使用手册总结
热门推荐
时光途径
05-10 3万+
简介 Hashcat是自称世界上最快的密码恢复工具。它在2015年之前拥有专有代码库,但现在作为免费软件发布。适用于Linux,OS X和Windows的版本可以使用基于CPU或基于GPU的变体。支持hashcat的散列算法有Microsoft LM哈希,MD4,MD5,SHA系列,Unix加密格式,MySQL和Cisco PIX等。 hashcat支持多种计算核心: GPU CPU AP...
【读书笔记】针对ICS的ATT&CK矩阵详解(一)
tpriwwq的专栏
03-07 1623
Att&CK for ICS Matrix
2.APT19介绍
07-26 858
Drive-by Compromise 偷渡式劫持 特征:用户访问  网站扫描浏览器版本和插件漏洞  漏洞利用  访问内网 从特征上面来看,大致意思就是主动去访问恶意网站后,在你不知情的情况下获取你的信息。 预防措施:启用浏览器的安全功能,保持更新,拦截广告,关掉脚本执行扩展功能,沙箱,虚拟化,开启系统软件漏洞防护 发现:防火墙 代理 检查URL域名或...
Drive-By Download测试框架 - drivesploit
leeeryan
01-12 1420
<br /> Drive-By Download是一种网络攻击手段,国内称为“网站挂马攻击”。Drive-By Download是当今最流行的恶意软件传播手段,它主要是综合大量的已知漏洞(也可能包括未知漏洞)对用户的浏览器发起攻击。可实施Drive-By Download的综合性+工具相当多,大多都是傻瓜式的,如著名的Zeus , Phoenix 等 exploit套件,它们都具有较高的易用性和成功率,drivesploit是一个基于metasploit的Drive-By Download
MITRE ATT&CK安全知识库介绍
ybdesire的专栏
09-26 1万+
1. 引入 通过学习MITRE ATT&CK,能快速对安全领域做一个全面的了解。 本文只是对MITRE ATT&CK做一个初步介绍,更深入的内容后续还会再写。 2. MITRE是什么 从wikipedia[1]上可以看到介绍: The Mitre Corporation (stylized as The MITRE Corporation and MITRE) is an Amer...
init/dealloc 使用accesser和不使用的区别
fg313071405的专栏
08-26 794
http://stackoverflow.com/questions/5932677/initializing-a-property-dot-notation/5932733#5932733 #import enum { UseItTheRightWay = true -OR- false }; @interface MONObjectA : NSObject { NS
Java中的URI与URL对象及网络编程
最新发布
静水深流
07-12 514
本文介绍了Java中URI与URL的处理及网络编程基础概念。Java通过java.net包提供URI/URL对象化表示,包括URI类(RFC 2396标准)、URL类及其编解码工具。URI类提供语法校验和解析功能,URL类则具备网络操作能力。文章还对比了两者差异,并详细说明URL编解码规范。 在网络基础方面,文章按地理范围划分网络类型(LAN/CAN/MAN/WAN),阐述协议栈分层设计(TCP/UDP/IP/HTTP等)。重点讲解UDP编程,包括无连接特性、DatagramSocket/Packet类的使
【音视频】HTTP协议介绍
Antonio915的博客
07-11 683
HTTP协议是万维网数据通信的基础,作为应用层协议,它具有简单快速、灵活、无连接和无状态的特点。HTTP报文由起始行、头部字段和消息正文三部分组成,起始行包含请求方法/状态码、请求目标和协议版本。头部字段采用key-value形式,提供报文的详细信息。常见请求字段如User-Agent用于标识客户端类型,而响应字段如Server说明服务器信息。尽管HTTP协议是无状态的,但通过Cookie和Session技术可保持会话状态。该协议支持多种数据类型传输,通过Content-Type标记数据类型,包括表单、JS
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值