TA0002 Execution 执行

最新推荐文章于 2025-07-27 17:49:16 发布
最新推荐文章于 2025-07-27 17:49:16 发布
阅读量268 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: ATT&CK框架 文章标签: docker 容器 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/b10d9/article/details/124656683

战术目的

Execution战术目的主要是在目标系统上执行恶意命令。该战术相关技术通常与其他战术技术相互关联。

利用命令和脚本解释器

操作系统通常自带有命令和脚本解释器,如Windows的CMD和powershell,以及跨平台的解释器,如python、JavaScript等。攻击者可以利用这些命令和脚本解释器执行恶意命令、脚本以及二进制文件,达到攻击目的。常见的解释器有:

1)powershell

2)AppleScript

3)Windows command shell

4)unix shell

5)visual basic

6)python

7)JavaScript

8)network device CLI

缓解措施:

1)M1049:安装杀毒软件,隔离可疑文件。

2)M1040:Windows10启用ASR,阻止visual basic和JavaScript执行恶意代码。

3)M1045:代码签名,只允许执行签名的脚本。

4)M1042:禁用或删除不必要或未使用的shell或解释器。

5)M1038:启用应用程序控制。

6)M1026:将powershell的执行策略限制为管理员。

7)M1021:通过脚本拦截扩展限制脚本和HTA文件的执行,如adblockers。

检测措施:

1)DS0017:监测脚本执行和后续行为的命令行参数。

2)DS0011:监控与脚本执行相关的事件。如加载JScript.dll、VBScript.dll。

3)DS0009:监控进程执行的日志文件和进程的上下文数据。

4)DS0012:监控任何运行的脚本,获取并分析脚本源文件。

利用容器管理命令

攻击者通过滥用容器管理命令在容器中执行命令,从而获得容器的访问。

缓解措施:

1)M1038:使用只读容器、只读文件系统、或最小安装镜像来防止恶意命令执行。

2)M1035:限制容器服务通信本地采用unix sockets,远程采用SSH。启用TLS通过安全端口与API通信,禁用docker API和kubernetes API未经身份认证的访问。

3)M1026:特权账号管理,确保容器不以root用户运行。在kubernetes环境中,定义一个pod安全策略,来阻止pod运行特权容器。

4)M1018:用户账号管理,对容器服务启用身份认证和基于角色的访问控制,为用户开放所需的最低权限。

检测措施:

1)DS1017:监控由容器服务执行的命令和参数。

2)DS0009:容器管理服务的活动和命令执行,通过容器及底层主机日志记录。

部署新容器

攻击者可能通过部署新的容器,来执行攻击操作,也可以绕过现有防御机制。

缓解措施:

1)M1047:审计,在执行部署前扫描镜像,阻止不符合安全策略的镜像的安装。

2)M1035:限制容器服务通信本地采用unix sockets,远程采用SSH。启用TLS通过安全端口与API通信,禁用docker API和kubernetes API未经身份认证的访问。

3)M1030:区域隔离,通过使用网络代理、网关或防火墙,拒绝对内部系统的直接访问。

4)M1018:将容器的管理后台限制在仅必要的用户可访问,实施最小权限原则。

检测措施:

1)DS0015

最低0.47元/天 解锁文章

200万优质内容无限畅学
TA的签名和验签
baron-周贺贺-代码改变世界ctw
01-13 88
optee中的TA是如何签名的?支持哪些签名算法? TEE OS中是如何打包验签使用的公钥的? 能否同时支持多把签名密钥?
macOS 开发 - Notarization 公证你的 Developer ID 应用
AI工程化、开源分享、文档翻译、代码笔记
01-23 5787
文章目录一、Notarization 简介我的 Notarizing 记录1、Enable hardened runtime2、Archive二、Gatekeeper 门禁显示 `允许任何来源`三、关于 Rootless & SIP1、查看是否开启了Rootless2、关闭/开启 Rootless 一、Notarization 简介 关于Notarization 机制的由来和原理,这篇文......
常见的网络攻击及解决方案(附源码)
麻瓜哇哇哇的博客
05-04 6315
简介 作为前端攻城狮,web安全是每个开发人员必须了解的,这也是面试经常会被问到的问题,本文我就将我所了解的常见攻击方式以及预防,和大家做个分享,如有不对的地方,欢迎大神指导。 首先,浏览器的同源策略(这个我在之前跨域的文章中有讲,有不明白的朋友可以先看下那篇文章)是浏览器安全的基础,许多客户端脚本攻击,都需要遵顼这一法则,因此理解同源策略对于客户端攻击有着重要意义,一旦同源策源出现漏洞被绕过,将...
网络攻击与防御
03-04
主要内容:网络攻击与防御 网络攻击与防御概览 概览、网络基础与协议 网络基础与协议、探查技术 探查技术、扫描技术 扫描技术、使用应用和操作系统攻击获取访问权 使用应用和操作系统攻击获取访问权、络攻击获取访问权 使用网络攻击获取访问权、拒绝服务攻击 拒绝服务攻击、维护访问权与控制系统 维护访问权与控制系统、隐藏踪迹 隐藏踪迹。
wmi基础
千祠的博客
01-24 2052
文章目录Windows管理规范wmi简介WMI攻击技术WMI防御技术 Windows管理规范 wmi简介   wmi就是Windows Managerment Instrumentation(Windows管理规范),是Windows中的一个核心管理技术。wmi为访问大量的Windows管理数据和方法提供了一个统一的机制。wmi通过脚本、C++程序接口、.Net类(系统管理)和命令行工具(WMIC)提供了对这个信息的访问。wmi的功能还包括事件、远程、查询、查看、计划和实施用户扩展及更多内容。可以理解为Wi
ATT & CK 阶段之Execution -- WMI
sojrs_sec的博客
05-09 725
WMI简介 Windows Management Instrumentation:是Windows管理功能,主要是为本地和远程访问Windows系统组件提供环境。依靠于Wmi服务进行本地或远程访问,同时需要SMB及RPCS(135端口)进行远程访问。攻击者通过WMI可以进行远程交互,用于后续渗透的信息收集或远程执行命令。 缓解措施 特权账号管理,防止系统账号和特权账号凭证相同 用户账号管理:默认只有管理员账号才可以通过WMI远程连接。可严格控制所有用户无法通过WMI远程连接 检测方式 网络监控:监控使
ATT&CK v10版本战术介绍-执行(上篇)
ducc20180301的博客
05-13 812
在前几期文章中我们介绍了ATT&CK中侦察、资源开发、初始访问战术理论知识及实战研究,本期我们为大家介绍ATT&CK 14项战术中的执行战术前6项技术内容,下期介绍执行战术后6项技术内容,敬请关注。
可信执行环境(TEE)技术介绍(Trusted Execution Environment)
热门推荐
Trust Bo
10-14 4万+
本文对当前流行的移动终端TEE技术做简要概述,并对一些细节展开讨论。1. 当前移动安全背景当前移动终端面临这严重的安全威胁,威胁点如下图所示:因此移动厂商、用户、服务提供商等各方都对移动安全提出了强烈的需求。2. REE介绍(Rich Execution Environment)REE简介所有移动设备都支持REE运行通用OS:Android、iOS、Linux为上层App提供设备的所有功能开放的、...
Hive错误之 Execution Error, return code 2 from org.apache.hadoop.hive.ql.exec.mr.MapRedTask错误分析_xiaohu21的博客-优快云博客.mht
09-04
Hive错误之 Execution Error, return code 2 from org.apache.hadoop.hive.ql.exec.mr.MapRedTask错误分析_xiaohu21的博客-优快云博客.mht
optee 操作系统源代码 可信执行环境 TEE
07-21
OPTEE 是一个开源工程,完整的实现了一个可信执行环境。该项目最初由意法-爱立信所发起,是一个专门的解决方案,然后由ST半导体拥有和维护,2014年Linaro开始与意法半导体合作推出将这个专有的TEE解决方案转换成一个...
netmiko 自动判断设备类型python_Python netmiko 管理 network devices 简例
weixin_39953481的博客
12-20 489
netmiko是python中可用于network device 备份的库,目前支持的设备如下:As of June 2015, Netmiko has support for the following platforms:Cisco IOSCisco IOS-XECisco ASACisco NX-OSCisco IOS-XRCisco WLC (limited testing)Arista ...
Python netmiko 管理 network devices 简例
weixin_33943347的博客
02-01 1721
netmiko是python中可用于network device 备份的库,目前支持的设备如下: As of June 2015, Netmiko has support for the following platforms: Cisco IOS Cisco IOS-XE Cisco ASA Cisco NX-OS Cisco IOS-XR Cisco WLC (limited testing)...
无线网络设备攻防知识总结
小勇的博客
01-03 3112
无线网络设备攻防知识总结一.胖AP与瘦AP基础知识瘦AP:无线接入点(AP,AccessPoint)也称无线网桥、无线网关,也就是所谓的“瘦AP”、此无线设备的传输机制相当于有线网络中的集线器,在无线局域网中不停地接收和传送数据;任何一台装有无线网卡的PC均可通过AP来分享局域网络甚至局域网的资源。 胖AP:学名是无线路由器。无线路由器与纯AP不同,除无线接入功能外,一般具备WAN、LAN两个接口,
Linux下的Command_execution(命令执行)
https://goodlunatic.github.io/
05-07 729
有关命令执行的知识 windows 或 linux 下: command1 && command2 先执行 command1,如果为真,再执行 command2 command1 | command2 只执行 command2 command1 & command2 先执行 command2 后执行 command1 command1 || command2 先执行 command1,如果为假,再执行 command2 命令执行漏洞(| || & && 称为
linux 监控新建进程,技术分享 | Linux 入侵检测中的进程创建监控
weixin_32921023的博客
04-28 743
作者简介:张博,网易高级信息安全工程师。0x00 简介在入侵检测的过程中,进程创建监控是必不可少的一点,因为攻击者的绝大多数攻击行为都是以进程的方式呈现,所以及时获取到新进程创建的信息能帮助我们快速地定位攻击行为。本文将介绍一些常见的监控进程创建的方式,包括其原理、Demo、使用条件和优缺点。行文仓促,如果有哪些错误和不足,还望大家批评指正。0x01 常见方式目前来看,常见的获取进程创建的信息的方...
构建企业级Docker日志驱动:将容器日志无缝发送到腾讯云CLS
K8sCat
07-24 946
本文介绍了一个开源的Docker日志驱动项目,可将容器日志直接发送至腾讯云CLS日志服务。项目采用模块化设计,包含Driver、Logger、Client等核心组件,通过异步非阻塞方式处理日志流,确保高并发场景下的稳定性。支持灵活的日志格式模板配置,包括容器ID、名称、时间戳等关键信息。项目使用腾讯云官方SDK实现日志上传,解决了传统容器日志管理分散、存储成本高、查询困难等问题。源码地址:https://github.com/k8scat/docker-log-driver-tencent-cls
docker-基础入门
2302_81048526的博客
07-25 638
数据卷(volume)是一个虚拟目录,是容器内目录与宿主机目录之间映射的桥梁。html:放置一些静态资源conf:放置配置文件如果我们要让Nginx代理我们的静态资源,最好是放到html目录;如果我们要修改Nginx的配置,最好是找到conf下的nginx.conf文件。但遗憾的是,容器运行的Nginx所有的文件都在容器内部。所以我们必须利用数据卷将两个目录与宿主机目录关联,方便我们操作。我们创建了两个数据卷:conf、html。
初识 docker [上]
最新发布
2401_89111612的博客
07-27 945
容器内的目录与宿主机的目录关联起来,我们称为挂载,此时,我们操作宿主机的挂载目录就是在操作容器内的被挂载目录。可以发现,数据卷的目录结构较深,如果我们去操作数据卷目录会不太方便。容器是隔离环境,容器内程序的文件、配置、运行时产生的容器都在容器内部,我们要读写容器内的文件非常不方便。注意:容器与数据卷的挂载要在创建容器时配置,对于创建好的容器,是不能设置数据卷的。这个目录就是默认的存放所有容器数据卷的目录,其下再根据数据卷名称创建新目录,格式为 /数据卷名/_data。: 数据卷名:容器内目录。
云计算技术之docker build构建错误
张晨光老师的播客
07-26 164
10 | #安装JDK。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值