Entry № 444
执行(MITRE 战术)
执行(MITRE 战术) 是什么?
执行(MITRE 战术)MITRE ATT&CK 战术 TA0002,涵盖让攻击者控制的代码在本地或远程系统上运行的各种技术。
执行(MITRE ATT&CK 战术 TA0002)描述的是攻击者控制的代码真正在受害者系统上运行的环节。它涵盖 PowerShell、JavaScript、Python、Shell 等脚本解释器;用户主动打开恶意附件或快捷方式;rundll32、msbuild 等被用于 living-off-the-land 的原生二进制;计划任务和服务创建;以及进程间通信机制。许多攻击者会在获得初始访问后通过执行环节巩固立足点,并常与防御规避结合,以绕过 AV 和 EDR。防御者依赖进程创建遥测(Sysmon EID 1、EDR)、命令行审计、应用程序白名单、AMSI 检查以及受限语言模式来检测或阻止恶意执行。
● 示例
- 01
宏调用 PowerShell 下载并运行 Cobalt Strike 信标。
- 02
滥用 rundll32.exe 从可写的用户目录中加载恶意 DLL。
● 常见问题
执行(MITRE 战术) 是什么?
MITRE ATT&CK 战术 TA0002,涵盖让攻击者控制的代码在本地或远程系统上运行的各种技术。 它属于网络安全的 防御与运营 分类。
执行(MITRE 战术) 是什么意思?
MITRE ATT&CK 战术 TA0002,涵盖让攻击者控制的代码在本地或远程系统上运行的各种技术。
如何防御 执行(MITRE 战术)?
针对 执行(MITRE 战术) 的防御通常结合技术控制与运营实践,详见上方完整定义。
执行(MITRE 战术) 还有哪些其他名称?
常见的别称包括: 执行战术, TA0002。