Entry № 917
持久化
持久化 是什么?
持久化MITRE ATT&CK 战术 TA0003,涵盖让攻击者在重启、凭据更改和事件响应过程中仍能保持对系统访问的各种技术。
持久化(MITRE ATT&CK 战术 TA0003)汇集了让攻击者在系统重启、密码重置或运维清理后仍能保留立足点的技术。常见做法包括自启动注册表项、计划任务、Windows 服务、WMI 事件订阅、BITS 作业、macOS 登录项、Linux cron 任务、恶意浏览器扩展、OAuth 令牌以及在 Active Directory 中植入的后门账户。攻击者通常会同时部署多种持久化机制,以防其中某一项被清除。防御者依靠进程创建日志、Autoruns(Sysinternals)和 EDR 的自启动清单、Sigma 规则,以及对异常计划任务、服务或 LSA 提供程序的狩猎来进行检测,通常通过对受感染主机进行完整重装来彻底清除。
● 示例
- 01
以随机 GUID 名安装为 Windows 服务的后门。
- 02
对 Microsoft 365 邮箱拥有长期访问权限的恶意 OAuth 应用。
● 常见问题
持久化 是什么?
MITRE ATT&CK 战术 TA0003,涵盖让攻击者在重启、凭据更改和事件响应过程中仍能保持对系统访问的各种技术。 它属于网络安全的 防御与运营 分类。
持久化 是什么意思?
MITRE ATT&CK 战术 TA0003,涵盖让攻击者在重启、凭据更改和事件响应过程中仍能保持对系统访问的各种技术。
如何防御 持久化?
针对 持久化 的防御通常结合技术控制与运营实践,详见上方完整定义。
持久化 还有哪些其他名称?
常见的别称包括: 持久访问, TA0003。