TA0001 初始访问 Initial Access

战术目标

战术主要是利用各种技术,在目标网络中获得最初的立足点,并确保后续能够通过立足点持续访问目标网络。

水坑攻击 Drive-by Compromise

Drive-by Compromise通常不是直接对目标系统发起攻击,而是通过对用户访问的网站的控制,对网站注入恶意代码,当目标系统的用户访问网站加载运行恶意代码后,获取目标系统的访问或获取系统上的应用访问令牌,如OAuth令牌。典型的有跨站脚本攻击(XSS)。通过水坑攻击,控制内网用户系统,获得最初的立足点。

官方给出的典型Drive-by compromise攻击过程:

1) 目标用户访问攻击者控制的网站应用。

2) 网站应用中的恶意脚本自动执行,搜索目标系统浏览器及插件的版本匹配的漏洞。

(该过程中,可能需要用户启用脚本或启用网站组件,并忽略告警信息。)

3) 确定漏洞后,传递恶意代码至浏览器。

4)执行成功后,攻击者便能够在目标系统上执行命令。

(该过程中,可能会触发目标系统上的防护措施,如杀毒软件。)

与利用互联网应用(Exploit Public-Facing Application)不同,水坑攻击通常能够使攻击者直接切入到企业内网,而不是DMZ区。

缓解措施:

1)M1048:应用程序隔离和沙盒,将恶意代码的运行限制在沙盒中。利用虚拟化或微隔离措施进行防御。

2)M1050:漏洞利用防护,安装防护软件,监控可能发生的漏洞利用过程。如Windows Defender Exploit Guard。现在的杀毒软件应该都具备。

3)M1021:限制网站内容,如安装广告拦截插件,阻止广告中可能带有的恶意代码,阻止利用过程中JavaScript的执行。

4)M1051:更新软件版本,保持浏览器软件的版本为最新,并启用浏览器的安全防护功能。

检测措施:

1)DS0015:应用日志,通过防火墙等能够检查URL的设备日志,结合威胁情报等,分析请求的资源是否是恶意域名。

2)DS0022:文件监控,监控用户在访问网站时创建的文件,关注

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值