持久化
持久化 是什么?
持久化MITRE ATT&CK 战术 TA0003,涵盖让攻击者在重启、凭据更改和事件响应过程中仍能保持对系统访问的各种技术。
持久化(MITRE ATT&CK 战术 TA0003)汇集了让攻击者在系统重启、密码重置或运维清理后仍能保留立足点的技术。常见做法包括自启动注册表项、计划任务、Windows 服务、WMI 事件订阅、BITS 作业、macOS 登录项、Linux cron 任务、恶意浏览器扩展、OAuth 令牌以及在 Active Directory 中植入的后门账户。攻击者通常会同时部署多种持久化机制,以防其中某一项被清除。防御者依靠进程创建日志、Autoruns(Sysinternals)和 EDR 的自启动清单、Sigma 规则,以及对异常计划任务、服务或 LSA 提供程序的狩猎来进行检测,通常通过对受感染主机进行完整重装来彻底清除。
● 示例
- 01
以随机 GUID 名安装为 Windows 服务的后门。
- 02
对 Microsoft 365 邮箱拥有长期访问权限的恶意 OAuth 应用。
● 常见问题
持久化 是什么?
MITRE ATT&CK 战术 TA0003,涵盖让攻击者在重启、凭据更改和事件响应过程中仍能保持对系统访问的各种技术。 它属于网络安全的 防御与运营 分类。
持久化 是什么意思?
MITRE ATT&CK 战术 TA0003,涵盖让攻击者在重启、凭据更改和事件响应过程中仍能保持对系统访问的各种技术。
持久化 是如何工作的?
持久化(MITRE ATT&CK 战术 TA0003)汇集了让攻击者在系统重启、密码重置或运维清理后仍能保留立足点的技术。常见做法包括自启动注册表项、计划任务、Windows 服务、WMI 事件订阅、BITS 作业、macOS 登录项、Linux cron 任务、恶意浏览器扩展、OAuth 令牌以及在 Active Directory 中植入的后门账户。攻击者通常会同时部署多种持久化机制,以防其中某一项被清除。防御者依靠进程创建日志、Autoruns(Sysinternals)和 EDR 的自启动清单、Sigma 规则,以及对异常计划任务、服务或 LSA 提供程序的狩猎来进行检测,通常通过对受感染主机进行完整重装来彻底清除。
如何防御 持久化?
针对 持久化 的防御通常结合技术控制与运营实践,详见上方完整定义。
持久化 还有哪些其他名称?
常见的别称包括: 持久访问, TA0003。
● 相关术语
- compliance№ 687
MITRE ATT&CK
由 MITRE 维护、面向全球开放的对手战术与技术知识库,基于真实攻击观察持续更新。
- malware№ 080
后门
绕过正常认证或访问控制、为攻击者提供未来进入系统通道的隐蔽机制。
- defense-ops№ 397
执行(MITRE 战术)
MITRE ATT&CK 战术 TA0002,涵盖让攻击者控制的代码在本地或远程系统上运行的各种技术。
- defense-ops№ 298
防御规避
MITRE ATT&CK 战术 TA0005,涵盖攻击者用来规避检测、禁用安全工具并隐藏自身活动的各种技术。
- defense-ops№ 265
网络杀伤链
洛克希德·马丁公司提出的七阶段模型,描述有针对性的入侵如何从侦察一路推进到目标行动。
- forensics-ir№ 524
事件响应
针对网络安全事件进行准备、检测、分析、遏制、根除和恢复并总结经验教训的有组织流程。