近日,安全软件公司RecordedFuture对MitreATT&CK知识库中技术、策略和程序(TTPs)的推荐数据进行了分析,统计出十大最流行的ATT&CK攻击技术攻击技术列表如下:排名前十的ATT&CK攻击技术如下:SecuritySoftwareDiscovery(T1063)–使用远程访问工具和开源管理框架扫描并列出目标计算机上的安全软件。该技术包括常用的远程访问工具(例如包含njRAT的木马)和扫描并列出目标计算机上的保护软件的开源管理框架。混淆文件或信息(T1027)–混淆代码和文件以避免检测和分析。进程注入(T1055)–将恶意代码隐藏在另一个进程的地址空间中。系统信息发现(T1082)–收集有关操作系统、硬件和软件安全状态的详细信息的方法。ProcessDiscovery(T1057)–独立于平台的系统配置枚举,在选择攻击向量时很有用。软件打包(T1045)–一种防御性规避技术,利用运行时或软件打包程序隐藏(恶意可执行)文件。DLL侧载(T1073)–DLL侧载涉及放置在目录中的具有欺骗性的恶意DLL,以确保加载它们而不是合法资源。数据加密(T1022)–盗窃前的数据加密,以掩盖网络流量中被盗数据的内容。通过API执行(T1106)–恶意使用合法API窃取数据并篡改关键级别的程序和脚本。标准加密协议(T1032)–RC4和AES等加密协议可用于隐藏命令和控制流量,这是攻击最后阶段经常使用的一种技术。安全牛点评“欺骗”和“规避”是当今红蓝攻防的两大热点。从列表中可以看出,能够绕过安全软件和安全检测的规避技术是目前最为流行的ATT&CK攻击技术。例如,安全软件发现、信息混淆、进程注入等,都是企图“蒙混过关”,逃避安全检查。攻击技术。【本文为专栏作者“安安牛”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此查看作者更多好文
