防御规避
防御规避 是什么?
防御规避MITRE ATT&CK 战术 TA0005,涵盖攻击者用来规避检测、禁用安全工具并隐藏自身活动的各种技术。
防御规避(MITRE ATT&CK 战术 TA0005)汇集了为绕过、致盲或欺骗安全控制而设计的技术,是 ATT&CK 矩阵中最庞大的战术之一。常见手段包括混淆与加密载荷、进程注入、DLL 侧加载、利用签名二进制代理执行(LOLBins)、关闭或卸载 EDR/AV、清除事件日志、伪装为合法进程、滥用受信任目录,以及使用 rootkit 或 BYOVD(自带漏洞驱动)攻击。防御规避往往贯穿整个入侵,与其他战术交织进行。防御者通过内核层遥测、EDR 防篡改、不可变日志、签名二进制资产清点,以及关注意图与活动链而非单个签名的行为检测来加以对抗。
● 示例
- 01
携带带漏洞的已签名驱动,以内核模式禁用 EDR 代理。
- 02
把恶意可执行文件重命名为 svchost.exe 并放入 C:\Windows\。
● 常见问题
防御规避 是什么?
MITRE ATT&CK 战术 TA0005,涵盖攻击者用来规避检测、禁用安全工具并隐藏自身活动的各种技术。 它属于网络安全的 防御与运营 分类。
防御规避 是什么意思?
MITRE ATT&CK 战术 TA0005,涵盖攻击者用来规避检测、禁用安全工具并隐藏自身活动的各种技术。
防御规避 是如何工作的?
防御规避(MITRE ATT&CK 战术 TA0005)汇集了为绕过、致盲或欺骗安全控制而设计的技术,是 ATT&CK 矩阵中最庞大的战术之一。常见手段包括混淆与加密载荷、进程注入、DLL 侧加载、利用签名二进制代理执行(LOLBins)、关闭或卸载 EDR/AV、清除事件日志、伪装为合法进程、滥用受信任目录,以及使用 rootkit 或 BYOVD(自带漏洞驱动)攻击。防御规避往往贯穿整个入侵,与其他战术交织进行。防御者通过内核层遥测、EDR 防篡改、不可变日志、签名二进制资产清点,以及关注意图与活动链而非单个签名的行为检测来加以对抗。
如何防御 防御规避?
针对 防御规避 的防御通常结合技术控制与运营实践,详见上方完整定义。
防御规避 还有哪些其他名称?
常见的别称包括: 防御逃避, TA0005。
● 相关术语
- compliance№ 687
MITRE ATT&CK
由 MITRE 维护、面向全球开放的对手战术与技术知识库,基于真实攻击观察持续更新。
- defense-ops№ 371
EDR(端点检测与响应)
持续记录端点进程、文件、注册表与网络活动,以检测、调查并响应主机层威胁的端点安全技术。
- malware№ 949
Rootkit
一种隐蔽性极强的恶意软件,可在操作系统或设备上获得并隐藏特权访问权限,使常规工具难以检测。
- malware№ 417
无文件恶意软件
主要在内存中运行、利用受信任的系统工具,尽量避免在磁盘上留下传统可执行文件的恶意软件。
- forensics-ir№ 049
反取证
攻击者或注重隐私者用于阻碍、延迟或挫败数字取证调查的各种技术。
- defense-ops№ 265
网络杀伤链
洛克希德·马丁公司提出的七阶段模型,描述有针对性的入侵如何从侦察一路推进到目标行动。
● 参见
- № 397执行(MITRE 战术)
- № 817持久化
- № 616就地取材攻击
- № 632LOLBin / LOLBAS
- № 332DLL 注入
- № 862进程注入
- № 045AMSI 绕过
- № 055应用程序白名单