ATT&CK 知识库（企业）中文版1

**ATT&CK 知识库（企业）中文版1** **初始访问** 初始访问是攻击者进入目标网络或系统的最初步骤，通常涉及多种技术来获取对目标环境的立足点。以下是一些主要的初始访问方法： 1. **路过式下载**：攻击者利用受害者无意中访问的恶意网站或下载的恶意软件，通常是通过社会工程学手段，诱使用户点击看似无害的链接或附件。 2. **面向公众应用的利用**：攻击者针对广泛使用的应用程序或服务发起攻击，例如通过零日漏洞或已知漏洞利用，使得即使是最新的软件也可能成为攻击途径。 3. **外部远程服务**：利用未授权的远程访问服务，如RDP（远程桌面协议）或SSH（安全外壳），攻击者可以尝试登录到目标系统，尤其是当这些服务的配置不安全时。 4. **硬件添加**：物理地将恶意硬件设备（如USB驱动器）插入目标网络中的设备，以传播恶意软件或绕过安全控制。 5. **通过移动存储进行复制**：使用闪存盘、移动硬盘等移动存储设备在不同系统间传输恶意代码，这可能是在内部网络中横向移动的一部分。 6. **鱼叉式钓鱼攻击**：通过电子邮件、短信或其他通信方式，发送精心设计的虚假消息，诱导受害者点击恶意链接或打开附件，以此来安装恶意软件或窃取敏感信息。 - **鱼叉式钓鱼攻击附件**：攻击者通过电子邮件或即时消息发送带有恶意附件的定制信息，附件可能包含宏病毒或其他类型的恶意代码。 - **鱼叉式钓鱼攻击链接**：与附件类似，但攻击者通过提供指向恶意网站的链接，诱使受害者访问并下载恶意软件。 - **通过服务进行鱼叉式钓鱼攻击**：利用合法的云存储或协作服务（如Google Drive或Dropbox）托管恶意文件，然后引导受害者访问这些链接。 7. **供应链威胁**：通过污染软件开发、分发或更新过程，攻击者将恶意代码嵌入到合法软件中，使得受害者在安装或升级时无意中引入威胁。 8. **可信关系**：利用已建立的信任关系，比如冒充合作伙伴、供应商或员工，攻击者可以获取访问权限或增加其在网络中的影响力。 9. **有效账号**：通过窃取或猜测用户名和密码，攻击者可以直接登录到目标系统，特别是当使用弱密码或重复使用密码的情况下。 **执行** 执行阶段涉及攻击者在成功获得初始访问后，开始运行恶意代码或程序以实现其目标。这可能包括AppScript的滥用，AppScript是一种脚本语言，常用于自动化Office应用程序中的任务。攻击者可能会编写AppScript来执行恶意操作，如下载额外的恶意软件组件、收集数据或控制受害者的系统。 以上内容是ATT&CK知识库（企业）中文版1的部分概述，涵盖了攻击者获取初始访问权限的各种策略和方法，以及随之而来的执行阶段可能涉及的活动。了解这些技术和攻击模式对于防御者制定有效的安全策略至关重要。