 描述
这种攻击目标以更高权限运行的程序。敌人试图利用运行程序中的漏洞,以更高权限执行任意代码。
攻击的可能性
典型的严重性
的关系
 此表显示了其他的攻击模式和高水平类别相关的这种攻击模式。这些关系被定义为ChildOf ParentOf,给类似的项目可能存在的洞察力在较高和较低的抽象级别。此外,关系如光束,PeerOf, CanAlsoBe定义显示类似的攻击模式,用户可能想要探索。
| 自然 |
类型 |
ID |
的名字 |
| ChildOf |
 元在CAPEC攻击模式——元级别攻击模式的量化无疑是一个抽象的描述一个特定的方法或技术用于攻击。元攻击模式往往是空虚的一个特定的技术或实现,旨在提供一个高水平的理解方法。元级攻击模式是一个泛化的攻击模式相关的标准水平。元级攻击模式尤其适用于架构和设计水平的威胁建模练习。 |
233年 |
特权升级 |
| CanPrecede |
 详细的攻击模式-一个详细级别攻击模式CAPEC提供了一个低水平的细节,通常利用一个特定的技术和针对特定的技术,并表达一个完整的执行流程。详细的攻击模式比元更具体的攻击模式和标准的攻击模式,通常需要一个特定的保护机制来减轻实际攻击。详细的级别攻击模式通常会利用许多不同的标准水平攻击模式链接在一起来完成一个目标。 |
8 |
在一个API调用缓冲区溢出 |
| CanPrecede |
详细的攻击模式-一个详细级别攻击模式CAPEC提供了一个低水平的细节,通常利用一个特定的技术和针对特定的技术,并表达一个完整的执行流程。详细的攻击模式比元更具体的攻击模式和标准的攻击模式,通常需要一个特定的保护机制来减轻实际攻击。详细的级别攻击模式通常会利用许多不同的标准水平攻击模式链接在一起来完成一个目标。 |
9 |
缓冲区溢出在本地命令行实用工具 |
| CanPrecede |
详细的攻击模式-一个详细级别攻击模式CAPEC提供了一个低水平的细节,通常利用一个特定的技术和针对特定的技术,并表达一个完整的执行流程。详细的攻击模式比元更具体的攻击模式和标准的攻击模式,通常需要一个特定的保护机制来减轻实际攻击。详细的级别攻击模式通常会利用许多不同的标准水平攻击模式链接在一起来完成一个目标。 |
10 |
缓冲区溢出通过环境变量 |
| CanPrecede |
详细的攻击模式-一个详细级别攻击模式CAPEC提供了一个低水平的细节,通常利用一个特定的技术和针对特定的技术,并表达一个完整的执行流程。详细的攻击模式比元更具体的攻击模式和标准的攻击模式,通常需要一个特定的保护机制来减轻实际攻击。详细的级别攻击模式通常会利用许多不同的标准水平攻击模式链接在一起来完成一个目标。 |
67年 |
字符串格式溢出在syslog () |
此表显示了这种攻击模式的观点属于和顶级类别内的这一观点。
执行流程
探索
发现与提升特权程序:敌人探测与提升特权运行的程序。
| 技术 |
| 寻找写系统目录的程序或注册表键(比如HKLM商店很多关键的Windows环境变量)。这些程序通常使用高特权和通常没有安全而设计的。这些项目都是很好的利用目标因为他们休息时产生大量的权力。 |
找到漏洞在运行的程序:敌人寻找漏洞的跑步计划,允许任意代码执行的特权运行的程序。
| 技术 |
| 寻找不正确的输入验证 |
| 寻找故障安全不当。例如当一个程序失败可能授权限制访问任何人。 |
| 寻找一个缓冲区溢出可能被利用,如果敌人可以注入多组数据。 |
利用
执行任意代码:他们发现的对手利用的漏洞。例如,他们可以尝试注入和执行任意代码或写操作系统资源。
先决条件
| 目标程序运行和提高操作系统的特权。 |
| 目标程序接受来自用户的输入数据或从另一个程序。 |
| 目标程序泄露自己的信息。在执行类似的袭击之前,最终攻击者可能需要收集的信息服务的主机上运行的目标。主机目标越详细对正在运行的服务(应用程序的版本号等)可以被攻击者收集的更多信息。 |
| 这种攻击通常需要直接与主机通信目标服务。例如Telnet可能足以与主机通信的目标。 |
技能要求
|
(等级:低) 攻击者可以使用一个工具来扫描和自动发起攻击的已知问题。工具也可以重复序列的指令并试图暴力破解主机上的服务目标,将洪水技术的一个例子。 |
|
(级别:中等) 更高级的攻击可能需要协议使用主机服务的知识。 |
指标
| 的日志可以跟踪异常活动。如果检测到异常活动主机上的目标。例如洪水应被视为不正常的活动和目标主机可以决定采取适当的行动以减轻攻击(数据过滤和审查)。资源枯竭也异常活动的标志。 |
后果
这个表指定不同的个体与攻击模式相关的后果。范围确定违反了安全属性,而影响了负面的技术影响,如果敌人成功的攻击。可能提供的信息如何可能的具体结果预计将看到列表中相对于其它后果。例如,可能有高可能性模式将被用来实现一定的影响,但较低的可能性,它将被利用来实现不同的影响。
| 范围 |
影响 |
可能性 |
|
保密
完整性
可用性 |
执行未经授权的命令 |
|
|
保密
访问控制
授权 |
获得特权 |
|
|
可用性 |
资源消耗 |
|
缓解措施
| 应用最小特权原则。 |
| 验证所有不可信的数据。 |
| 应用最新的补丁。 |
| 扫描你的服务和禁用不需要的和不必要的接触。表面暴露程序增加了攻击。只需要公开的服务和安全认证等机制构建。 |
| 避免暴露信息系统(例如,版本的程序)匿名用户。 |
| 确保安全程序或服务失败。如果突然中断的通信协议,发生什么?如果一个参数丢失,发生了什么?你的系统有抵抗和弹性攻击吗?失败安全出现资源耗尽的时候。 |
| 如果可能的话,使用一个沙箱模型,限制了程序可以采取的行动。沙箱限制程序的一组特权和命令程序很难或不可能造成任何伤害。 |
| 检查您的程序的缓冲区溢出和格式字符串漏洞从而导致执行恶意代码。 |
| 监控交通和资源使用和注意如果出现资源耗尽。 |
| 保护你的日志文件和日志锻造从未经授权的修改。 |
分类法映射
CAPEC映射ATT&CK技术利用一个继承模型简化和减少直接CAPEC / ATT&CK映射。继承的映射表示文本说明父CAPEC有相关ATT&CK映射。注意,ATT&CK企业框架不使用一个继承模型的一部分映射到CAPEC。
引用
|
[REF-1] g·霍格伦德和g·麦格劳。“利用软件:如何打破代码”。addison - wesley。2004 - 02。 |
 内容的历史
| 提交 |
| 提交日期 |
提交者 |
组织 |
| 2014-06-23
(版本2.6) |
CAPEC内容团队 |
manbetx客户端首页 |
|
| 修改 |
| 修改日期 |
修饰符 |
组织 |
| 2015-11-09
(版本2.7) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新的引用 |
| 2017-01-09
(版本2.9) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新Related_Attack_Patterns |
| 2018-07-31
(版本2.12) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新Attacker_Skills_or_Knowledge_Required,引用 |
| 2020-07-30
(版本3.3) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新Execution_Flow Related_Attack_Patterns |
| 2021-06-24
(版本3.5) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新Related_Weaknesses |
| 2021-10-21
(版本3.6) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新描述、Execution_Flow先决条件 |
|
描述
此表显示了其他的攻击模式和高水平类别相关的这种攻击模式。这些关系被定义为ChildOf ParentOf,给类似的项目可能存在的洞察力在较高和较低的抽象级别。此外,关系如光束,PeerOf, CanAlsoBe定义显示类似的攻击模式,用户可能想要探索。
内容的历史
