Entry № 332
防御规避
防御规避 是什么?
防御规避MITRE ATT&CK 战术 TA0005,涵盖攻击者用来规避检测、禁用安全工具并隐藏自身活动的各种技术。
防御规避(MITRE ATT&CK 战术 TA0005)汇集了为绕过、致盲或欺骗安全控制而设计的技术,是 ATT&CK 矩阵中最庞大的战术之一。常见手段包括混淆与加密载荷、进程注入、DLL 侧加载、利用签名二进制代理执行(LOLBins)、关闭或卸载 EDR/AV、清除事件日志、伪装为合法进程、滥用受信任目录,以及使用 rootkit 或 BYOVD(自带漏洞驱动)攻击。防御规避往往贯穿整个入侵,与其他战术交织进行。防御者通过内核层遥测、EDR 防篡改、不可变日志、签名二进制资产清点,以及关注意图与活动链而非单个签名的行为检测来加以对抗。
● 示例
- 01
携带带漏洞的已签名驱动,以内核模式禁用 EDR 代理。
- 02
把恶意可执行文件重命名为 svchost.exe 并放入 C:\Windows\。
● 常见问题
防御规避 是什么?
MITRE ATT&CK 战术 TA0005,涵盖攻击者用来规避检测、禁用安全工具并隐藏自身活动的各种技术。 它属于网络安全的 防御与运营 分类。
防御规避 是什么意思?
MITRE ATT&CK 战术 TA0005,涵盖攻击者用来规避检测、禁用安全工具并隐藏自身活动的各种技术。
如何防御 防御规避?
针对 防御规避 的防御通常结合技术控制与运营实践,详见上方完整定义。
防御规避 还有哪些其他名称?
常见的别称包括: 防御逃避, TA0005。