 描述
攻击者利用微软NTFS的功能替代数据流(广告)破坏系统安全。广告允许多个“文件”存储在一个目录条目引用的文件名:streamname。另一个或多个数据流可能存储在任何文件或目录。正常的微软工具没有显示广告流的存在附加到一个文件中。更多的广告空间,不显示文件中记录的大小。更多的广告空间,使用空间中占的体积。一个广告可以是任何类型的文件。广告复制标准微软工具之间NTFS卷。广告可以被攻击者或入侵者使用隐藏工具,脚本和数据从正常的系统实用程序的检测。许多反病毒程序不检查或扫描广告。Windows Vista的确有一个开关(- r)在命令行DIR命令将显示备选流。
典型的严重性
先决条件
所需资源
| 攻击者必须有命令行或编程访问目标文件系统写/读权限。 |
缓解措施
| 设计:使用脂肪文件系统不支持替代数据流。 |
| 实现:使用Vista dir - r开关或实用程序找到替代数据流和采取适当的行动与发现。 |
| 实现:使用产品替代数据流意识到病毒扫描和系统安全操作。 |
分类法映射
 CAPEC映射ATT&CK技术利用一个继承模型简化和减少直接CAPEC / ATT&CK映射。继承的映射表示文本说明父CAPEC有相关ATT&CK映射。注意,ATT&CK企业框架不使用一个继承模型的一部分映射到CAPEC。
与OWASP分类法映射
 内容的历史
| 提交 |
| 提交日期 |
提交者 |
组织 |
| 2014-06-23
(版本2.6) |
CAPEC内容团队 |
manbetx客户端首页 |
|
| 修改 |
| 修改日期 |
修饰符 |
组织 |
| 2017-08-04
(版本2.11) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新Resources_Required |
| 2018-07-31
(版本2.12) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新Related_Attack_Patterns Resources_Required |
| 2020-12-17
(版本3.4) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新Taxonomy_Mappings |
|
描述
此表显示了其他的攻击模式和高水平类别相关的这种攻击模式。这些关系被定义为ChildOf ParentOf,给类似的项目可能存在的洞察力在较高和较低的抽象级别。此外,关系如光束,PeerOf, CanAlsoBe定义显示类似的攻击模式,用户可能想要探索。
内容的历史
