TA0004-Privilege Escalation 权限提升
2024年12月2日大约 10 分钟
TA0004-Privilege Escalation 权限提升
T1548.滥用权限提升控制机制
T1548.001.Setuid and Setgid
T1548.002.Bypass UAC
T1548.003.Sudo 和 Sudo 缓存
T1548.004.带有提示的提权执行
T1548.005.临时提升云访问权限
T1548.006.TCC操作
T1548.滥用提升控制机制本身
T1134.访问令牌操纵
T1134.001.令牌冒充/窃取
土豆家族
Hot Potato
Rotten Potato
Juicy Potato
PrintSpoofer/PipePotato/BadPotato
Rogue Potato
PetitPotato
GodPotato
EfsPotato
JCTokenUtil
Msf-impersonate_token
Msf-steal_token
CS-steal_token
GoTokenTheft
NoFilter
PrivFu
- Named Pipe Impersonation
- Token Stealing
- Token Duplication with WFP
MSF-getsystem
T1134.002.创建带令牌的进程
T1134.003.创建并模拟令牌
T1134.004.父进程PID欺骗
T1134.005.SID历史注入
T1098.账户操纵
T1098.001.附加云凭证
T1098.002.额外电子邮件代理权限
T1098.003.附加云角色
T1098.004.SSH授权密钥
T1098.005.设备注册
T1098.006.附加容器集群角色
T1098.007.附加本地或域Group
T1547.启动或登录自动执行
T1547.001.注册运行键/启动文件夹
T1547.002.身份验证包
T1547.003.时间提供者
T1547.004.Winlogon Helper DLL
T1547.005.安全支持提供商
T1547.006.内核模块和扩展
T1547.007.重新打开的应用程序
T1547.008.LSASS驱动程序
T1547.009.快捷键修改
T1547.010.端口监控
T1547.012.打印处理器
T1547.013.XDG自动启动条目
T1547.014.Active Setup
T1547.015.登录选项
T1037.启动或登录初始化脚本
T1037.001.登录脚本(Windows)
T1037.002.Login Hook
T1037.003.网络登录脚本
T1037.004.RC脚本
T1037.005.启动项
T1543.创建和修改系统进程
T1543.001.启动代理
T1543.002.Systemd Service
T1543.003.Windows服务
T1543.004.启动守护进程
T1543.005.容器服务
T1484.域或租户策略修改
T1484.001.组策略修改
T1484.002.信任修改
T1611.逃逸到主机
T1546.事件触发执行
T1546.001.修改默认文件关联
打开文件的默认程序
T1546.002.屏幕保护程序
用户不活动时间执行的程序
T1546.003.Windows管理工具事件订阅
WMI 事件订阅触发的恶意内容
T1546.004.Unix Shell 配置修改
Unix Shell 根据事件在整个会话的不同点执行多个配置脚本
T1546.005.Trap
中断信号触发恶意内容
T1546.006.LC_LOAD_DYLIB Addition
污染二进制文件触发恶意内容
T1546.007.Netsh Helper DLL
netsh.exe 帮助程序 DLL
T1546.008.无障碍功能
可访问性功能来触发恶意内容
T1546.009.AppCert DLLs
- 执行加载到进程中的 AppCert DLL 来触发恶意内容(Windows)
- 常调用的应用程序编程接口 (API) 函数 CreateProcess 、 CreateProcessAsUser、 CreateProcessWithLoginW 、 CreateProcessWithTokenW或 WinExec的进程会加载此DLL
- HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\下的 AppCertDLLs 注册表项中指定的动态链接库
T1546.010.Appinit DLLs
- 执行由加载到进程中的 AppInit DLL 触来发恶意内容(Windows)
- user32.dll 加载到 user32.dll 的每个进程中
- 在注册表项 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows或 HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows 的 AppInit_DLLs值中指定
T1546.011.应用程序模拟
- 执行由应用程序填充程序来触发恶意内容(为了后向兼容性)(Windows)
- 应用程序填充功能允许开发人员将修复程序应用于为旧系统创建的应用程序在新系统上使用
- 修改默认 Windows 安装程序 (sdbinst.exe) 当前安装的所有填充程序的列表:%WINDIR%\AppPatch\sysmain.sdb 和 HKEY_LOCAL_MACHINE\SOFTWARE\microsoft\windows nt\currentversion\appcompatflags\installedsdb
T1546.012.图像文件执行选项注入
- 执行镜像文件执行选项 (IFEO) 调试器触发的恶意内容(Windows)
- 调试器下启动新进程
- 通过注册表直接设置 IFEO,也可以通过 GFlags 工具在 Global Flags 中设置
T1546.013.Powershell Profile
- 执行由 PowerShell 配置文件触发的恶意内容(Windows)
- 在 PowerShell 启动时运行的脚本
- 修改这些配置文件以包含任意命令、函数、模块和 PowerShell 驱动器
T1546.014.Emond
执行由事件监视器守护程序 (emond) 触发的恶意内容(macos)
T1546.015.组件对象模型劫持
- 通过组件对象模型 (COM) 对象的引用劫持来触发恶意内容(Windows)
- 通过操作系统实现软件组件之间的交互
- 劫持COM对象,修改或篡改COM的属性和方法
T11546.016.安装软件包
- 使用安装程序触发恶意内容的执行(Windwos/Linux/MacOS)
- 操作系统在系统上安装应用程序
- 使用修改的安装程序脚本分发应用程序来执行恶意内容
T11546.017.Udev Rules
T1068.利用漏洞提权
- 利用程序、服务或操作系统软件或内核本身中的编程错误来执行攻击者控制的代码
- 一个较低特权的进程中操作
- 利用系统漏洞
T1574.劫持执行流程
劫持操作系统运行程序的方式
T1574.001.DLL搜索顺序劫持
- 劫持用于加载 DLL 的搜索顺序
- 在程序请求的合法库位置之前放置、通过 DLL 重定向直接修改搜索顺序
T1574.002.DLL侧加载
- 将受害应用程序和恶意负载并排放置
- 调用执行其有效载荷的合法应用程序来直接旁加载
T1574.004.动态库劫持
Dylib劫持(macos)
T1574.005.可执行安装程序文件权限漏洞
- 劫持安装程序使用的二进制文件
- 当安装程序创建子目录和文件时,他们通常没有设置适当的权限来限制写访问,这允许执行放置在子目录中的不受信任的代码覆盖安装过程中使用的二进制文件
T1574.006.动态链接器劫持
Linux/macOS
- 劫持动态链接器用来加载共享库的环境变量执行恶意负载
- 在程序的执行准备阶段,动态链接器从环境变量和文件中加载共享库的指定绝对路径
T1574.007.通过PATH环境变量拦截路径
- 劫持用于加载库的环境变量来执行恶意负载
- 将程序放置在 PATH 环 境变量中存储的目录列表中的较早条目中,然后 Windows 将在通过该 PATH 列表顺序以搜索从脚本或命令行调用的二进制文件时执行该条目
T1574.008.通过搜索顺序劫持做路径拦截
- 劫持用于加载其他程序的搜索顺序来执行恶意负载,行程序的某些方法(即使用 cmd.exe 或命令行)仅依赖于 PATH 环境变量来确定在未提供程序路径时搜索程序的位置
- 将可执行文件放置在路径内的更高级别目录中
T1574.009.通过未引用路径做路径拦截
- 劫持易受攻击的文件路径引用
- 路径有一个或多个空格并且没有被引号包围,攻击者可以将可执行文件放在路径的更高级别目录中
T1574.010.服务文件权限漏洞
- 劫持服务使用的二进制文件
- 利用 Windows 服务权限中的缺陷来替换在服务启动时执行的二进制文件
T1574.011.服务注册权限漏洞
- 劫持服务使用的注册表条目
- 利用与服务相关的注册表项的权限缺陷,从最初指定的可执行文件重定向到攻击者控制的可执行文件
T1574.012.COR_PROFILER
- 利用 COR_PROFILER(旨在监视、排除故障和调试由 .NET CLR 执行的托管代码)环境变量来劫持加载 .NET CLR 的程序的执行流程
- 在 COR_PROFILER_PATH 环境变量中指定分析 DLL 的位置,在每次调用 CLR 时在所有 .NET 进程的上下文中执行恶意 DLL
T1574.013.内核回调表
- 滥用进程的 KernelCallbackTable来劫持其执行流
- 将原始回调函数替换为恶意负载
T1574.014.AppDomainManager
T1055.进程注入
向进程注入代码,以逃避基于进程的防御并可能提升特权
T1055.001.动态链接库注入
- 将动态链接库 (DLL) 注入进程
- 在调用新线程加载 DLL 之前在目标进程的虚拟地址空间中写入 DLL 的路径
T1055.002.可移植可执行文件注入
- 将可移植可执行文件 (PE) 注入进程
- 通过在通过新线程调用目标进程之前将代码(可能没有磁盘上的文件)复制到目标进程的虚拟地址空间来执行
T1055.003.线程执行劫持
- 将恶意代码注入被劫持的进程
- 通过暂停现有进程然后取消映射/镂空其内存来执行
T1055.004.异步过程调用
- 通过异步过程调用 (APC) 队列将恶意代码注入进程
- 将恶意代码附加到进程线程的 APC 队列来执行。队列 APC 函数在线程进入可变状态时执行。
T1055.005.线程本地存储
- 通过线程本地存储 (TLS) 回调将恶意代码注入进程
- 涉及操纵可移植可执行文件 (PE) 内的指针,以在到达代码的合法入口点之前将进程重定向到恶意代码
T1055.008.Ptrace系统调用
- 通过 ptrace(进程跟踪)系统调用将恶意代码注入进程
- Ptrace 系统调用注入通常通过将任意代码写入正在运行的进程(例如:malloc)然后使用 PTRACE_SETREGS调用该内存来设置包含要执行的下一条指令的寄存器来执行
T1055.009.进程内存
- 通过 /proc 文件系统将恶意代码注入进程
- 通过使用 /proc 文件系统提供的内存映射覆盖目标进程的堆栈来执行
T1055.011.额外窗口内存注入
- 通过额外窗口内存 (EWM) 将恶意代码注入进程
- 新windows 类的注册可以包括将最多 40 字节的 EWM 附加到该类的每个实例的分配内存的请求。
T1055.012.Process Hollowing
- 将恶意代码注入暂停和镂空的进程中
- 创建一个处于挂起状态的进程然后取消映射/镂空其内存来执行的
T1055.013.Process Doppelganging
- 通过进程分身将恶意代码注入进程
- TxF 仅允许一个事务句柄在给定时间写入文件,滥用 TxF 来执行进程注入的无文件变体
T1055.014.VDSO劫持
虚拟动态共享对象劫持
- 过 VDSO 劫持将恶意代码注入进程
- 虚拟动态共享对象(Virtual Dynamic Shared Object,VDSO)是Linux内核中的一个特殊模块,它提供了一些系统调用的快速实现,攻击者通过修改虚拟动态共享对象中的代码来执行恶意操作
T1055.015.ListPlanting
- 滥用列表视图控件将恶意代码注入被劫持的进程
- 列表视图控件是一种常见的UI组件,用于显示各种类型的数据。它通常包含一个列表,其中每个项目都由一个项视图表示。如果攻击者能够注入恶意代码到这些项视图中,那么他们就可以在用户点击或滚动列表时执行该恶意代码。
T1053.计划任务
利用任务调度功能来促进恶意代码的初始或重复执行
T1053.002.At
- 在指定的时间和日期安排任务
- 利用 at.exe 工具来为恶意代码的初始或重复执行执行任务调度
T1053.003.Cron
- 用于类 Unix 操作系统的基于时间的作业调度程序
- 在 Linux 或 Unix 环境中使用 cron在系统启动时执行程序,或按计划执行持久性
T1053.005.Scheduled Task
- Windows 任务计划程序
- schtasks可以直接在命令行上运行,或者可以通过控制面板的管理员工具部分中的 GUI 打开任务计划程序
T1053.006.Systemd Timers
- Systemd 计时器是文件扩展名为 .timer 的单元文件,用于控制服务
- systemd 计时器在系统启动时执行恶意代码,或按计划执行恶意代码
T1053.007.容器编排作业
T1078.有效账户
获取和利用现有帐户的凭据,以此作为获得初始访问权限
T1078.001.默认账户
获取和利用默认帐户的凭据,以此作为获得初始访问权限
T1078.002.域账户
通过各种方式(如操作系统凭据转储或密码重用)破坏域帐户
T1078.003.本地账户
获取和利用本地帐户的凭据,以此作为获得初始访问权限
T1078.004.云账户
获取和利用云帐户的凭据