企业版ATT&CK知识库：关键攻击手段与防御策略概述

ATT&CK 知识库（企业）中文版1提供了对企业环境中常见的网络安全威胁和攻击手段的深入解析。这份知识库关注于各类攻击技术的实施方式，涵盖了从初始访问到持久化的各个阶段，以便安全专业人员更好地理解和防御。 1. 初始访问阶段： - **路过式下载**：指恶意软件通过不显眼的方式（如网页广告、邮件附件等）在用户不知情的情况下被下载。 - **面向公众应用的利用**：利用用户对官方或看似合法应用的信任，通过这些应用传播恶意代码。 - **外部远程服务**：攻击者利用公开的网络服务作为跳板，实施进一步的入侵活动。 2. 执行和控制阶段： - **硬件添加**：涉及物理设备的植入，如USB设备，以获取系统的访问权限。 - **移动存储复制**：通过移动存储介质如U盘、记忆卡传播恶意软件。 - **鱼叉式钓鱼攻击**：通过伪造电子邮件、消息等形式，诱导用户提供敏感信息或下载恶意软件。 - **AppScript** 和 **CMSTP**：可能是脚本语言，用于自动化执行恶意操作。 - **命令行界面**、**HTML编译文件**、**控制面板项目**：利用操作系统提供的命令行工具或内置功能进行攻击。 - **API接口执行**：通过调用应用程序编程接口来执行恶意代码。 - **客户端执行利用**：针对特定软件漏洞的攻击，使恶意代码在客户端得以运行。 - **图形用户界面**：利用UI交互设计欺骗用户，引导其执行恶意操作。 3. 持久化方法： - **bashrc**：在Unix/Linux系统中，恶意代码可能在启动时自动运行。 - **辅助功能** 和 **账号操纵**：通过修改系统设置或获取管理员权限来保持活动。 - **AppCertDLL** 和 **AppInitDLL**：恶意DLL文件，常用于Windows环境中，隐蔽加载并执行。 - **文件系统权限缺陷** 和 **隐藏文件和目录**：利用系统漏洞隐藏恶意文件，使其难以被检测。 此外，文档还涵盖了恶意软件利用操作系统和服务的多种途径，例如服务执行、脚本编程、定时任务、恶意软件与可信工具的区分、以及对抗恶意软件的策略如签名验证、用户教育等。这份知识库对于网络安全团队来说是极其宝贵的资源，它详细列举了攻击者的各种手段，帮助企业构建更有效的防御体系。