1. <i id="8kl0q"></i>

    ATT&CK-CN V1.01 Last Update: 2019-11 [返回索引頁]

    譯者: 林妙倩(清華大學網絡研究院網絡空間安全實習生)、戴亦侖(賽寧網安) 原創翻譯作品,如果需要轉載請取得翻譯作者同意。

    數據來源:ATT&CK Matrices

    原文: https://attack.mitre.org/techniques/T1055

    術語表: /attack/glossary

    進程注入

    進程注入是一種在獨立活動進程的地址空間中執行任意代碼的方法。在另一個進程的上下文中運行代碼會允許代碼訪問進程的內存、系統/網絡資源,以及可能提升的特權。由于合法進程掩蓋了(注入進程的)執行,因此通過進程注入執行也可規避對安全產品的檢測。

    Windows

    將代碼注入實時進程有多種方法。Windows 下的實現包括: - 動態鏈接庫 (DLL) 注入涉及在進程中寫入惡意 DLL 的路徑,然后通過創建遠程線程調用執行。 - 可移植性可執行注入包括將惡意代碼直接寫入進程(磁盤上沒有文件),然后使用附加代碼或創建遠程線程調用執行。注入代碼的替換要求重新映射內存引用。這種方法的變體,如反射 DLL 注入(將自映射 DLL 寫入進程)和內存模塊(寫入進程時映射 DLL),解決了了地址重定位問題。 - 線程執行劫持涉及將惡意代碼或 DLL 路徑注入進程的線程。與進程鏤空類似,首先必須掛起線程。 - 異步過程調用 (APC) 注入涉及將惡意代碼附加到進程線程的 APC 隊列 。當線程進入可變狀態時,執行在 APC 隊列的函數。APC 注入的一種變體為"Early Bird 注入",它涉及到創建一個掛起的進程,在進程的入口點(以及可能隨后的反惡意軟件鉤子)之前,通過 APC 編寫和執行惡意代碼。 AtomBombing 是另一種變體,它利用 APC 調用以前編寫到全局原子表的惡意代碼。 - 線程本地存儲 (TLS) 回調注入涉及操作可移植性可執行文件 (PE) 中的指針,以便在到達代碼的合法入口點之前將進程重定向到惡意代碼。

    Mac 和 Linux

    Linux 和 OS X/macOS 系統的實現包括: - LD_PRELOAD、LD_LIBRARY_PATH (Linux)、DYLD_INSERT_LIBRARIES (Mac OS X) 環境變量或 dlfcn 應用程序編程接口 (API) 可用于動態加載進程中的庫(共享對象),該庫可用于攔截運行進程中的 API 調用。 - Ptrace 系統調用可用于附加到正在運行的進程并在運行時修改它。 - /proc/[pid]/mem 提供對進程內存的訪問,可用于對進程讀寫任意數據。因其復雜性,該技術十分少見。 - VDSO 劫持通過操作 linux-vdso.so 共享對象映射的樁代碼,在 ELF 二進制文件上執行運行時注入。 惡意軟件通常利用進程注入來訪問系統資源,通過這些資源可以獲得持久性和修改其他環境。 更復雜的示例:使用命名管道或其他進程間通信 (IPC) 機制作為通信通道,執行多進程注入來分割模塊并進一步規避檢測。

    緩解

    這種類型的攻擊技術不能簡單通過預防性控制緩解,因為它基于濫用操作系統設計功能。 例如,減少特定的 Windows API 調用可能會產生意料外的副作用,比如阻止合法軟件(即安全產品)正常運行。 應該集中精力防止攻擊者工具在活動鏈中更早地運行以及識別后續惡意行為。

    在適當的情況下使用白名單 工具(如 AppLocker、 或軟件限制策略 ) 識別或攔截可能包含進程注入功能的潛在惡意軟件。

    使用 Yama 限制特權用戶只能使用 ptrace,從而緩解基于 ptrace 的進程注入。 其他緩解控制包括部署提供高級訪問控制和進程限制的安全內核模塊,如 SELinux、grsecurity 和 AppAmour。

    檢測

    監控各種類型代碼注入的 Windows API 調用可能產生大量的數據,并且對防御可能沒有直接用處,除非是在特定情況下針對已知的錯誤調用序列收集,因為良性的 API 函數調用可能是常見的,難以將其與惡意行為區分開。 諸如 CreateRemoteThread,SuspendThread / SetThreadContext / ResumeThread,QueueUserAPC / NtQueueApcThread 之類的 API 調用以及可用于修改另一個進程內的內存的 API 調用(例如 WriteProcessMemory)可用于此技術。

    監測 Linux 特定的調用,如 ptrace 系統調用,LD_PRELOAD 環境變量的使用,或 dlfcn 動態鏈接 API 調用,由于其專業特性,它們不會產生大量數據,可以非常有效地檢測一些常見的進程注入的方法。

    監視命名管道的創建和連接事件(事件 ID 17 和 18),以獲取外部模塊感染進程的潛在標志。

    監視可以在代碼注入前后完成的進程和命令行參數操作,并將信息與相關的事件信息關聯起來。 代碼注入也可以通過 PowerShell 和 PowerSploit 等工具執行, 因此可能需要額外監控 PowerShell 來覆蓋這種行為的已知實現。

    免费任你躁国语自产在线播放,午夜嘿嘿嘿在线观看,国语自产精品视频在线,女人本色完整版高清,大人片视频免费,国产综合有码无码中文字幕,日日摸日日碰夜夜爽无码 2020自拍偷区亚洲综合第一页,欧美色欧美亚洲日韩在线播放,偷拍中国熟妇牲交,久久99久久99久久综合,男女配种超爽免费视频,少妇被黑人4P到惨叫,国产成人午夜精品影院 我不卡影院免费观看,手机在线不卡一区二区,在线不卡日本v二区三区18,一日本道在线不卡视频,我不卡手机在线观看,国产欧美亚洲综合第一页,欧美顶级情欲片 午夜无码片在线观看影视,在线观看免费无码专区,成年肉动漫在线观看无码,99久久无色码中文字幕,久久SE精品一区二区,午夜无码片在线观看影视 偷柏自拍亚洲不卡综合在线,国产亚洲Av黄在线,久久精品五福影院,人人爽人人爽人人爽,99国产免费和视频,中文字幕无码日韩Av,中国美女牲交视频,国产女人牲交免费视频 日本高清在线无码视频,日本爽快片100色毛片,人与动杂交在线播放,欧美人与禽交片免播放,日本黄大片免费播放片,香港三香港日本三级在线理论最新高清无码专区 亚洲中文字幕系列第1页_欧美a级片_男女激烈性高爱潮视频,欧美激情第一欧美精品,最新国产AⅤ精品无码,亚洲 欧美 国产综合aⅴ,视频一区 二区 三区,台湾自拍偷区亚洲综合
    亚洲人成观看视频在线观看,亚洲人成网站视频,亚洲人成AV免费,强乱中文字幕在线播放不卡,强伦姧中文字幕在线观看,国产v片在线播放免费,亚洲一日韩欧美中文字幕在线 青青草伊人,洛洛色中文网最新版,五月丁香综合,亚洲另类色区欧美日韩,日本中文字幕有码在线视频,最新亚洲中文字幕一区在线,中国熟妇牲交视频,性欧美牲交在线视频 又色又黄18禁免费的网站,国产亚洲日韩在线播放不卡,亚洲欧美中文日韩在线V日本,成·人免费午夜无码视频,欧美毛片性情免费播放,免费欧洲美女牲交视频,国产美女牲交视频 少妇的丰满2中文字幕,色八区人妻在线视频,香港日本韩国免费三级,免费视频在线观看网站,免费高清视频,香港三香港日本三级在线播放,洛洛色中文网最新版 老司机午夜神器_两性色午夜视频_午夜男人免费福利视频,男人吃奶视频.男人女人强吻下面视频.无码av手机免费不卡在线观看.在线日本v二区不卡,一本到高清视频不卡dvd 成年av动漫网站18禁无码,亚洲AⅤ视频动漫在线,亚洲成年AV天堂动漫网站最新电影,在线视频免费播放动漫H片在线播放免费,国产 欧美 日产_国产欧美国日产_日产a在线播放 性抽插gif动态图,俺去啦_俺来也,女人张开腿让男人桶肌肌,床震未满十八禁止观看男女男,欧美Z0ZO人禽交免费观看,日本高清AV免费乱码专区,欧洲美女粗暴牲交 日本高清在线无码视频,日本爽快片100色毛片,人与动杂交在线播放,欧美人与禽交片免播放,日本黄大片免费播放片,香港三香港日本三级在线理论最新高清无码专区 免费网站看v片在线无遮挡,男女啪啪免费观看网站,大香大香伊人在钱线久久,日韩精品中文字幕高清在线,亚洲 国产 日韩 在线 一区,性欧美BBW性A片,黑粗硬大欧美在线视频 亚洲一日韩欧美中文字幕在线,大色堂撸撸看,欧美在线超清中文乱码一区,欧美肥老太交性视频,2020国产在视频线自在拍,日本牲交大片免费观看,日日摸夜夜添夜夜