执行(MITRE 战术)
执行(MITRE 战术) 是什么?
执行(MITRE 战术)MITRE ATT&CK 战术 TA0002,涵盖让攻击者控制的代码在本地或远程系统上运行的各种技术。
执行(MITRE ATT&CK 战术 TA0002)描述的是攻击者控制的代码真正在受害者系统上运行的环节。它涵盖 PowerShell、JavaScript、Python、Shell 等脚本解释器;用户主动打开恶意附件或快捷方式;rundll32、msbuild 等被用于 living-off-the-land 的原生二进制;计划任务和服务创建;以及进程间通信机制。许多攻击者会在获得初始访问后通过执行环节巩固立足点,并常与防御规避结合,以绕过 AV 和 EDR。防御者依赖进程创建遥测(Sysmon EID 1、EDR)、命令行审计、应用程序白名单、AMSI 检查以及受限语言模式来检测或阻止恶意执行。
● 示例
- 01
宏调用 PowerShell 下载并运行 Cobalt Strike 信标。
- 02
滥用 rundll32.exe 从可写的用户目录中加载恶意 DLL。
● 常见问题
执行(MITRE 战术) 是什么?
MITRE ATT&CK 战术 TA0002,涵盖让攻击者控制的代码在本地或远程系统上运行的各种技术。 它属于网络安全的 防御与运营 分类。
执行(MITRE 战术) 是什么意思?
MITRE ATT&CK 战术 TA0002,涵盖让攻击者控制的代码在本地或远程系统上运行的各种技术。
执行(MITRE 战术) 是如何工作的?
执行(MITRE ATT&CK 战术 TA0002)描述的是攻击者控制的代码真正在受害者系统上运行的环节。它涵盖 PowerShell、JavaScript、Python、Shell 等脚本解释器;用户主动打开恶意附件或快捷方式;rundll32、msbuild 等被用于 living-off-the-land 的原生二进制;计划任务和服务创建;以及进程间通信机制。许多攻击者会在获得初始访问后通过执行环节巩固立足点,并常与防御规避结合,以绕过 AV 和 EDR。防御者依赖进程创建遥测(Sysmon EID 1、EDR)、命令行审计、应用程序白名单、AMSI 检查以及受限语言模式来检测或阻止恶意执行。
如何防御 执行(MITRE 战术)?
针对 执行(MITRE 战术) 的防御通常结合技术控制与运营实践,详见上方完整定义。
执行(MITRE 战术) 还有哪些其他名称?
常见的别称包括: 执行战术, TA0002。
● 相关术语
- compliance№ 687
MITRE ATT&CK
由 MITRE 维护、面向全球开放的对手战术与技术知识库,基于真实攻击观察持续更新。
- defense-ops№ 535
初始访问
MITRE ATT&CK 战术 TA0001,涵盖攻击者首次在目标环境中建立立足点所使用的各种技术。
- defense-ops№ 817
持久化
MITRE ATT&CK 战术 TA0003,涵盖让攻击者在重启、凭据更改和事件响应过程中仍能保持对系统访问的各种技术。
- defense-ops№ 298
防御规避
MITRE ATT&CK 战术 TA0005,涵盖攻击者用来规避检测、禁用安全工具并隐藏自身活动的各种技术。
- defense-ops№ 265
网络杀伤链
洛克希德·马丁公司提出的七阶段模型,描述有针对性的入侵如何从侦察一路推进到目标行动。
- defense-ops№ 371
EDR(端点检测与响应)
持续记录端点进程、文件、注册表与网络活动,以检测、调查并响应主机层威胁的端点安全技术。