命令和脚本解释器
T1059.001 PowerShell
T1059.002 AppleScript
T1059.003 Windows Command Shell
T1059.004 Unix Shell
T1059.005 Visual Basic
T1059.006 Python
T1059.007 JavaScript
T1059.008 Network Device CLI
容器管理命令
理解:利用容器自身的命令执行达到攻击者想达到的目的
攻击者可能滥用容器管理服务在容器内执行命令。容器管理服务(例如 Docker 守护程序、Kubernetes API 服务器或 kubelet)可以允许在环境中远程管理容器
部署容器
理解:在目标机器上部署可以提权的容器环境;
攻击者可以将容器部署到环境中以促进执行或规避防御。在某些情况下,攻击者可能会部署新容器来执行与特定映像或部署相关联的进程,例如执行或下载恶意软件的进程。在其他情况下,攻击者可能会部署一个没有网络规则、用户限制等配置的新容器,以绕过环境中的现有防御
利用客户端执行
理解:利用客户端浏览器漏洞攻击,通过钓鱼附件的形式,例如office,还有就是常见的第三方应用程序,例如:Flash相关漏洞;
攻击者可能会利用客户端应用程序中的软件漏洞来执行代码。由于可能导致意外行为的不安全编码实践,软件中可能存在漏洞。攻击者可以通过有针对性地利用某些漏洞来执行任意代码。通常,攻击性工具包最有价值的漏洞利用是那些可用于在远程系统上获取代码执行的漏洞,因为它们可用于访问该系统。用户希望看到与他们常用的工作应用程序相关的文件,因此它们是漏洞利用研究和开发的有用目标,因为它们具有很高的实用性
进程间通信
T1559.001 Component Object Model
T1559.002 Dynamic Data Exchange
攻击者可能会滥用进程间通信 (IPC) 机制来执行本地代码或命令。IPC 通常被进程用来共享数据、相互通信或同步执行。IPC 也常用于避免进程陷入循环等待模式时发生的死锁等情况。
原生API
理解:这个跟底层有关系,可以理解为利用操作系统提供API函数,通过此API函数可以可以执行攻击者想执行的二进制文件
攻击者可能与本机操作系统应用程序编程接口 (API) 交互以执行行为。本机 API 提供了一种在内核中调用低级 OS 服务的受控方式,例如那些涉及硬件/设备、内存和进程的服务。[1] [2]操作系统在系统启动期间(其他系统组件尚未初始化时)以及在日常操作期间执行任务和请求时会利用这些原生 API。
计划任务/作业
T1053.001 At (Linux)
T1053.002 At (Windows)
T1053.003 Cron
T1053.004 Launchd
T1053.005 Scheduled Task
T1053.006 Systemd Timers
T1053.007 Container Orchestration Job
理解:通过目标机器的计划任务执行恶意文件
攻击者可能会滥用任务调度功能来促进恶意代码的初始或重复执行。所有主要操作系统中都有实用程序来安排程序或脚本在指定的日期和时间执行。如果满足适当的身份验证(例如:RPC 以及 Windows 环境中的文件和打印机共享),也可以在远程系统上安排任务。在远程系统上安排任务通常需要成为远程系统上的管理员或其他特权组的成员。
共享模块
理解:通过共享的形式执行恶意payload
攻击者可能通过加载共享模块来执行恶意负载。可以指示 Windows 模块加载器从任意本地路径和任意通用命名约定 (UNC) 网络路径加载 DLL。这一功能位于ntdll.dll中的,是Windows的一部分原生API是从像函数调用CreateProcess,LoadLibrary等在Win32 API的。
软件部署工具
理解:攻击者利用模板已经存在的软件,达到进一步攻击的目的
攻击者可以访问和使用安装在企业网络中的第三方软件套件,例如管理、监控和部署系统,以在网络中横向移动。出于管理目的(例如,SCCM、HBSS、Altiris 等),可能会在网络环境中使用第三方应用程序和软件部署系统。
系统服务
T1569.001 Launchctl
T1569.002 Service Execution
理解:利用系统服务进行提权等操作
攻击者可能滥用系统服务或守护程序来执行命令或程序。攻击者可以通过在本地或远程与服务交互或创建服务来执行恶意内容。许多服务设置为在启动时运行,这有助于实现持久性(创建或修改系统进程),但攻击者也可以滥用服务进行一次性或临时执行。
用户执行
T1204.001 Malicious Link
T1204.002 Malicious File
T1204.003 Malicious Image
理解:就是利用社会工程和钓鱼方式欺骗用户执行的目的
攻击者可能会依赖用户的特定操作来获得执行。用户可能会受到社会工程的影响,以使他们通过例如打开恶意文档文件或链接来执行恶意代码。这些用户操作通常会被视为来自网络钓鱼形式的后续行为
Windows管理规范
攻击者可能会滥用 Windows Management Instrumentation (WMI) 来执行恶意命令和负载。WMI 是一种管理功能,它提供了一个统一的环境来访问 Windows 系统组件。WMI 服务支持本地和远程访问,但后者由分布式组件对象模型(DCOM) 和Windows 远程管理(WinRM)等远程服务提供便利。DCOM 上的远程 WMI 使用端口 135 运行,而 WinRM 上的 WMI 在使用 HTTP 和 5986 用于 HTTPS 时通过端口 5985 运行