大整数传输为何禁用Long类型?

5. T1057：进程发现 | 战术：发现

与其他发现技术类似，系统配置枚举可能是对手获取决策信息的关键部分。除了命令格式的细微区别外，该技术还与平台无关。

T1057的实施：

• 使用Windows工具“任务列表”或Mac和Linux中的“ps”命令是恶意软件中常见的功能(例如Winnti)。
• 威胁参与者开始使用Process Discovery来发现和关闭安全研究人员工具。例如，在2018年末，观察到伊朗威胁组织MuddyWater 检查受害者系统上正在运行的进程，以寻找常见恶意软件研究工具的证据。

T1057的缓解：

与T1082的检测方法一样。

6. T1045：软件打包 | 战术：防御闪避

与运行时或软件打包程序相关联的软件打包(T1045)会压缩初始文件或可执行文件。尽管程序员也会使用软件打包来降低存储成本，但攻击者也很喜欢这种技术，因为打包可执行文件会更改其文件签名并减小文件体积，从而使基于签名或占用空间的检测更加困难。

T1045的实施：

许多APT相关恶意软件变体都使用软件打包技术，包括Uroburos(已使用其运营商Turla 的自定义打包程序)和APT28的Zebrocy(使用开源打包程序)。

T1045的缓解：

通常可以使用反恶意软件或防病毒软件配置来缓解T1045。可以通过扫描已知的软件打包工具(例如Aspack)或打包技术的工件来检测软件打包。但是，软件打包也具有合法用途，因此并不一定都是恶意行为。

7. T1073：DLL侧加载 | 战术：防御闪避

DLL侧加载(T1073)(仅在Windows操作系统中进行)是将欺骗性的恶意DLL文件放置在特定目录中后，被当作合法DLL加载。该技术将恶意代码混入到合法的服务或流程中，而不是运行新的无法识别的流程，从而帮助威胁行为者逃避防御。

T1073的实施：

已知有多个APT组织使用该技术，例如APT32。据报道，在2020年1月，Winnti威胁小组在对香港大学的攻击中使用了DLL侧加载技术。

T1073的缓解：

DLL侧加载会滥用合法进程，从而使缓解和检测变得困难，但并非不可能。通过限制尝试访问文件和目录的用户的权限，安全团队可以减少能够执行该技术的用户数量。尝试检测T1073时，团队可以比较DLL进程的执行时间，以发现非补丁造成的异常差异。

8. T1022：数据加密 | 战术：渗透

数据加密(T1022)是渗透战术下的一种技术，它是对手使用的另一种非常流行的技术。通过在泄露信息之前对数据进行加密，参与者可以更有效地隐藏被盗数据的内容。今天有多种加密方法可供对手使用。

T1022的实施：

• Lazarus Group使用Zlib压缩和XOR操作来加密数据并将其泄漏到C2服务器。
• WARZONE RAT(也称为Ave Maria Stealer)是一种主要在犯罪地下组织出售的远程访问木马，主要由Solmyr在Hack Forums和Nulled上出售。该恶意软件的功能包括加密技术以及UAC绕过、密码窃取和RDP访问。

T1022的缓解：

创建规则或针对异常加密命令发出警报，或使用启发式工具来识别与数据加密有关的异常行为。网络流量熵也可能发现加密数据的泄露。

（编辑：淮安站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!