1. <i id="8kl0q"></i>

    ATT&CK-CN V1.01 Last Update: 2019-11 [返回索引頁]

    譯者: 林妙倩(清華大學網絡研究院網絡空間安全實習生)、戴亦侖(賽寧網安) 原創翻譯作品,如果需要轉載請取得翻譯作者同意。

    數據來源:ATT&CK Matrices

    原文: https://attack.mitre.org/techniques/T1034

    術語表: /attack/glossary

    路徑劫持

    路徑劫持發生在可執行文件被放在特定路徑中,文件由某一應用程序執行而不是預定目標執行時。其中一個例子是在一個有漏洞的應用程序的當前工作目錄中使用 cmd 副本,該應用程序使用 CreateProcess 函數加載 CMD 或 BAT 文件。

    在進行路徑劫持時,攻擊者可以利用多個明顯的缺陷或錯誤配置:未加引號的路徑,配置錯誤的 PATH 環境變量和搜索順序劫持。第一個漏洞有關完整的程序路徑,而未指定程序路徑會導致第二個和第三個漏洞。如果可執行文件是定期被調用的,則可以使用路徑劫持技術進行持久化,如果被攔截的可執行文件由更高權限的進程啟動,則可以利用該技術進行權限提升。

    未加引號的路徑

    如果服務路徑(存儲在 Windows 注冊表項中) 和快捷路徑具有一個或多個空格且未被引號括起(例如,C:\unsafe path with space\program.exe vs. "C:\safe path with space\program.exe"),那么它們容易受到路徑劫持的攻擊,。 攻擊者可以將一個可執行文件放在比原路徑的更高級別目錄中,然后 Windows 將解析該可執行文件而不是預期的可執行文件。例如,如果快捷方式中的路徑是 C:\program files\myapp.exe,攻擊者可以在C:\program.exe目錄下創建程序,那么將被運行的是該程序而不是預期的程序。

    PATH 環境變量配置錯誤

    PATH 環境變量包含一個目錄列表。如果沒有給出程序路徑,某些執行程序的方法(比如使用 cmd.exe 還是命令行)僅依賴于 PATH 環境變量來確定在哪些位置搜索程序。如果有目錄在 PATH 環境變量中位于 Windows 目錄之前,%SystemRoot%\system32(例如C:\Windows\system32)。則可以將與 Windows 程序(例如 cmd,PowerShell 或 Python)名稱相同的程序放在前面的目錄中, 當對應命令在腳本或命令行中被調用時,該程序會被執行。 例如,如果 C:\example path 在 PATH 環境變量中在 C:\Windows\system32 前面,那么當命令行執行“net”時, 位于 C:\example path 的 net.exe 將會被調用,而不是 Windows 系統的 “net”。

    搜索順序劫持

    搜索順序劫持發生在攻擊者濫用 Windows 對于未給出路徑的程序的搜索順序時。執行程序的方法不同,搜索順序也會不同。 但是,Windows 通常在搜索 Windows 系統目錄之前搜索啟動程序目錄。攻擊者如果發現易受搜索順序劫持攻擊的程序(即未指定可執行文件路徑的程序),可以通過創建以 未正確指定的程序命名的程序并將其放在啟動程序的目錄中來利用此漏洞。

    例如,“example.exe”使用命令行參數net user運行“cmd.exe” 。攻擊者可以將名為“net.exe”的程序放在與 example.exe 相同的目錄中,執行“example.exe”時將運行該“net.exe”而不是 Windows 系統實用程序 net。此外,如果攻擊者將名為“net.com”的程序放在與“net.exe”相同的目錄中,根據 PATHEXT 定義的可執行擴展的順序。cmd.exe /C net user將執行“net.com”而不是“net.exe” , 搜索順序劫持也是劫持 DLL 加載的常見做法,這在 DLL 搜索順序劫持中有所涉及。

    緩解

    在函數允許的情況下,用引號將 PATH 變量括起來,以消除程序配置文件、腳本、PATH 環境變量、服務和快捷方式中的路徑攔截缺陷 [ 6 ]。 請注意 Windows 用于執行或加載二進制文件的搜索順序,并在適當的地方使用絕對路徑 [ 12 ]。 卸載軟件時清理舊的 Windows 注冊表項,以避免與合法二進制文件無關的項。 定期搜索并更正或報告系統上的路徑攔截漏洞,這些漏洞可能是使用不安全的路徑配置報告軟件的自定義工具或可用工具引入的。[ 13 ]。 要求將所有可執行文件放在寫保護目錄中。 確保設置了適當的權限和目錄訪問控制,拒絕用戶將文件寫入頂級目錄 C : 和系統目錄,如 C:\Windows\,以減少惡意文件可以放置以獲得執行的位置。 使用能夠審核和/或攔截未知可執行文件的白名單 工具(如 AppLocker 或軟件限制策略,)識別并攔截可能通過路徑攔截執行的潛在惡意軟件。

    檢測

    監視以部分目錄命名的文件的文件創建,以及在可能通過環境變量搜索公共進程的位置下的文件創建,或不允許用戶寫入。 監視以部分目錄命名的進程可執行路徑的執行進程。 監視以 Windows 系統程序命名的程序或通常無需路徑就可以執行的程序(如“findstr”、“net”和“python”) 的文件創建。 如果此活動發生在已知的管理活動、升級、安裝或打補丁之外,則可能是可疑的。 不應孤立地看待數據和事件,而應將其視為可能導致其他活動的行為鏈的一部分,例如用于命令與控制的網絡連接、通過披露了解環境細節以及橫向移動。

    免费任你躁国语自产在线播放,午夜嘿嘿嘿在线观看,国语自产精品视频在线,女人本色完整版高清,大人片视频免费,国产综合有码无码中文字幕,日日摸日日碰夜夜爽无码 2020自拍偷区亚洲综合第一页,欧美色欧美亚洲日韩在线播放,偷拍中国熟妇牲交,久久99久久99久久综合,男女配种超爽免费视频,少妇被黑人4P到惨叫,国产成人午夜精品影院 我不卡影院免费观看,手机在线不卡一区二区,在线不卡日本v二区三区18,一日本道在线不卡视频,我不卡手机在线观看,国产欧美亚洲综合第一页,欧美顶级情欲片 午夜无码片在线观看影视,在线观看免费无码专区,成年肉动漫在线观看无码,99久久无色码中文字幕,久久SE精品一区二区,午夜无码片在线观看影视 偷柏自拍亚洲不卡综合在线,国产亚洲Av黄在线,久久精品五福影院,人人爽人人爽人人爽,99国产免费和视频,中文字幕无码日韩Av,中国美女牲交视频,国产女人牲交免费视频 日本高清在线无码视频,日本爽快片100色毛片,人与动杂交在线播放,欧美人与禽交片免播放,日本黄大片免费播放片,香港三香港日本三级在线理论最新高清无码专区 亚洲中文字幕系列第1页_欧美a级片_男女激烈性高爱潮视频,欧美激情第一欧美精品,最新国产AⅤ精品无码,亚洲 欧美 国产综合aⅴ,视频一区 二区 三区,台湾自拍偷区亚洲综合
    亚洲人成观看视频在线观看,亚洲人成网站视频,亚洲人成AV免费,强乱中文字幕在线播放不卡,强伦姧中文字幕在线观看,国产v片在线播放免费,亚洲一日韩欧美中文字幕在线 青青草伊人,洛洛色中文网最新版,五月丁香综合,亚洲另类色区欧美日韩,日本中文字幕有码在线视频,最新亚洲中文字幕一区在线,中国熟妇牲交视频,性欧美牲交在线视频 又色又黄18禁免费的网站,国产亚洲日韩在线播放不卡,亚洲欧美中文日韩在线V日本,成·人免费午夜无码视频,欧美毛片性情免费播放,免费欧洲美女牲交视频,国产美女牲交视频 少妇的丰满2中文字幕,色八区人妻在线视频,香港日本韩国免费三级,免费视频在线观看网站,免费高清视频,香港三香港日本三级在线播放,洛洛色中文网最新版 老司机午夜神器_两性色午夜视频_午夜男人免费福利视频,男人吃奶视频.男人女人强吻下面视频.无码av手机免费不卡在线观看.在线日本v二区不卡,一本到高清视频不卡dvd 成年av动漫网站18禁无码,亚洲AⅤ视频动漫在线,亚洲成年AV天堂动漫网站最新电影,在线视频免费播放动漫H片在线播放免费,国产 欧美 日产_国产欧美国日产_日产a在线播放 性抽插gif动态图,俺去啦_俺来也,女人张开腿让男人桶肌肌,床震未满十八禁止观看男女男,欧美Z0ZO人禽交免费观看,日本高清AV免费乱码专区,欧洲美女粗暴牲交 日本高清在线无码视频,日本爽快片100色毛片,人与动杂交在线播放,欧美人与禽交片免播放,日本黄大片免费播放片,香港三香港日本三级在线理论最新高清无码专区 免费网站看v片在线无遮挡,男女啪啪免费观看网站,大香大香伊人在钱线久久,日韩精品中文字幕高清在线,亚洲 国产 日韩 在线 一区,性欧美BBW性A片,黑粗硬大欧美在线视频 亚洲一日韩欧美中文字幕在线,大色堂撸撸看,欧美在线超清中文乱码一区,欧美肥老太交性视频,2020国产在视频线自在拍,日本牲交大片免费观看,日日摸夜夜添夜夜