当前位置:网站首页>【红队】ATT&CK - 创建或修改系统进程实现持久化(更新ing)

【红队】ATT&CK - 创建或修改系统进程实现持久化(更新ing)

2022-08-02 06:20:00 千里:)

背景

作为持久化操作的一部分,攻击者可能会创建或修改系统级进程以重复执行恶意负载。当操作系统启动时,它们可以启动执行后台系统功能的进程。在 Windows 和 Linux 上,这些系统进程被称为服务。 在 macOS 上,运行称为 Launch Daemon 和 Launch Agent 的启动进程以完成系统初始化并加载用户特定参数。

攻击者可能会安装新的服务、守护程序或代理,这些服务、守护程序或代理可以配置为在启动时或可重复的时间间隔执行,以建立持久化后门。类似地,攻击者可能会修改现有的服务、守护进程或代理以达到相同的效果。

在实现基础方面,需要使用管理员权限创建服务、守护程序或代理,因此必须在 root/SYSTEM 权限下执行。

方法说明

一、启动Agent(macOS)

该方法适用于macOS中权限持久化场景。macOS使用/System/Library/LaunchAgents、/Library/LaunchAgents等实现自启动,作为

原网站

版权声明
本文为[千里:)]所创,转载请带上原文链接,感谢
https://wittpeng.blog.csdn.net/article/details/126109513

边栏推荐

猜你喜欢

随机推荐