Duy trì truy cập (persistence) bao gồm các kỹ thuật mà đối thủ sử dụng để giữ quyền truy cập vào hệ thống khi khởi động lại, thông tin đăng nhập đã thay đổi và các gián đoạn khác có thể cắt đứt quyền truy cập của họ. Các kỹ thuật được sử dụng để tồn tại lâu dài bao gồm bất kỳ quyền truy cập, hành động hoặc thay đổi cấu hình nào cho phép chúng duy trì chỗ đứng trên hệ thống, chẳng hạn như thay thế hoặc chiếm đoạt mã hợp pháp hoặc thêm mã khởi động.
ID Tên Mô tả
T1098
Thao túng tài
khoản(thêm thông tin đăng nhập vào cloud, trao đổi quyền ủy quyền email, ủy quyền các khóa SSH)
Kẻ tấn công có thể thao túng tài khoản để duy trì quyền truy cập vào hệ thống của nạn nhân. Thao túng tài khoản có thể bao gồm bất kỳ hành động nào nhằm duy trì quyền truy cập của đối thủ vào tài khoản bị xâm phạm, chẳng hạn như sửa đổi thông tin xác thực hoặc nhóm quyền. Những hành động này cũng có thể bao gồm hoạt động tài khoản được thiết kế để phá vỡ các chính sách bảo mật, chẳng hạn như thực hiện cập nhật mật khẩu lặp đi lặp lại để bỏ qua các chính sách về thời lượng mật khẩu và duy trì tuổi thọ của thông tin đăng nhập bị xâm phạm. Để tạo hoặc thao túng tài khoản, đối thủ phải có đủ quyền trên hệ thống hoặc miền
T1197 BITS Jobs
Kẻ tấn công có thể lạm dụng các công việc BITS để liên tục thực thi hoặc dọn dẹp sau khi tải trọng độc hại. Windows Background Intelligent Transfer Service (BITS) là một cơ chế truyền tệp băng thông thấp, không đồng bộ được hiển thị thông qua Mô hình Đối tượng Thành phần (COM). BITS thường được sử dụng bởi các trình cập nhật, sứ giả và các ứng dụng khác được ưu tiên hoạt động ở chế độ nền (sử dụng băng thông nhàn rỗi có sẵn) mà không làm gián đoạn các ứng dụng nối mạng khác. Các tác vụ truyền tệp được thực hiện dưới dạng các công việc BITS, chứa một hàng đợi của một hoặc nhiều thao tác tệp.
T1547 Boot or Logon Autostart Execution
Kẻ tấn công có thể định cấu hình cài đặt hệ thống để tự động thực thi một chương trình trong quá trình khởi động hoặc đăng nhập hệ thống nhằm duy trì tính bền bỉ hoặc giành được các đặc quyền cấp cao hơn trên các hệ thống bị xâm phạm. Hệ điều hành có thể có các cơ chế tự động chạy chương trình khi khởi động hệ thống hoặc đăng nhập tài khoản. Các cơ chế này có thể bao gồm tự động thực thi các chương trình được đặt trong các thư mục được chỉ
định đặc biệt hoặc được tham chiếu bởi các kho lưu trữ thông tin cấu hình, chẳng hạn như Windows Registry. Kẻ tấn công có thể đạt được mục tiêu tương tự bằng cách sửa đổi hoặc mở rộng các tính năng của hạt nhân.
T1037
Tập lệnh khởi tạo khởi động hoặc đăng nhập
Kẻ tấn công có thể sử dụng các tập lệnh được thực thi tự động khi khởi động hoặc khởi động đăng nhập để thiết lập tính bền bỉ. Các tập lệnh khởi tạo có thể được sử dụng để thực hiện các chức năng quản trị, thường có thể thực thi các chương trình khác hoặc gửi thông tin đến một máy chủ ghi nhật ký nội bộ. Các tập lệnh này có thể khác nhau dựa trên hệ điều hành và được áp dụng cục bộ hay từ xa.
T1176 Tiện ích mở rộng trình duyệt
Kẻ tấn công có thể lạm dụng tiện ích mở rộng trình duyệt Internet để thiết lập quyền truy cập liên tục vào hệ thống của nạn nhân. Tiện ích mở rộng hoặc bổ trợ của trình duyệt là các chương trình nhỏ có thể thêm chức năng và tùy chỉnh các khía cạnh của trình duyệt Internet. Chúng có thể được cài đặt trực tiếp hoặc thông qua cửa hàng ứng dụng của trình duyệt và thường có quyền truy cập và quyền đối với mọi thứ mà trình duyệt có thể truy cập.
T1554 Compromise Client Software Binary
Kẻ tấn công có thể sửa đổi mã nhị phân phần mềm khách hàng để thiết lập quyền truy cập liên tục vào hệ thống. Phần mềm máy khách cho phép người dùng truy cập các dịch vụ do máy chủ cung cấp. Các loại phần mềm máy khách phổ biến là máy khách SSH, máy khách FTP, ứng dụng email và trình duyệt web.
T1136 Tạo tài khoản
Kẻ tấn công có thể tạo một tài khoản để duy trì quyền truy cập vào hệ thống của nạn nhân. Với cấp độ truy cập đủ lớn, việc tạo các tài khoản như vậy có thể được sử dụng để thiết lập quyền truy cập thông tin xác thực thứ cấp mà không yêu cầu triển khai các công cụ truy cập từ xa liên tục trên hệ thống.
T1543 Tạo hoặc sửa đổi tiến trình hệ thống
Kẻ tấn công có thể tạo hoặc sửa đổi các quy trình cấp hệ thống để thực thi liên tục các tải trọng độc hại như một phần của sự bền bỉ. Khi hệ điều hành khởi động, chúng có thể bắt đầu các quá trình thực hiện các chức năng của hệ thống nền. Trên Windows và Linux, các quy trình hệ thống này được gọi là dịch vụ. Trên macOS, các quy trình khởi chạy được gọi là Launch Daemon và Launch Agent được chạy để hoàn tất quá trình khởi tạo hệ thống và tải các thông số cụ thể của người dùng.
T1546 Sự kiện được kích hoạt thực thi
Kẻ tấn công có thể thiết lập sự bền bỉ và / hoặc nâng cao đặc quyền bằng cách sử dụng các cơ chế hệ thống kích hoạt thực thi dựa trên các sự kiện cụ thể. Các hệ điều hành khác nhau có các phương tiện để giám sát và đăng ký các sự kiện như nhật ký hoặc hoạt động khác của người dùng như chạy các ứng dụng / mã nhị phân cụ thể.
T1133 Dịch vụ từ xa bên ngoài
Kẻ tấn công có thể tận dụng các dịch vụ từ xa giao diện bên ngoài để truy cập ban đầu và / hoặc tồn tại trong một mạng. Các dịch vụ từ xa như VPN, Citrix và các cơ chế truy cập khác cho phép người dùng kết nối với tài nguyên mạng nội bộ doanh nghiệp từ các vị trí bên ngoài. Thường có các cổng dịch vụ từ xa quản lý các kết nối và xác thực thông tin xác thực cho các dịch vụ này. Các dịch vụ như Windows Remote Management cũng có thể được sử dụng bên ngoài.
T1574
Luồng thực thi xâm nhập(DLL Search Order Hijacking, DLL Side-Loading, Dylib Hijacking, …)
Kẻ tấn công có thể thực thi tải trọng độc hại của riêng họ bằng cách chiếm quyền điều hành cách hệ điều hành chạy chương trình. Luồng thực thi chiếm quyền điều khiển có thể nhằm mục đích duy trì lâu dài, vì quá trình thực thi bị tấn công này có thể tái diễn theo thời gian. Kẻ tấn công cũng có thể sử dụng các cơ chế này để nâng cao đặc quyền hoặc trốn tránh các biện pháp phòng thủ, chẳng hạn như
kiểm soát ứng dụng hoặc các hạn chế khác đối với việc thực thi.
T1137 Khởi động ứng dụng Office
Đối thủ có thể tận dụng các ứng dụng dựa trên Microsoft Office để có sự bền bỉ(persistence) giữa các lần khởi động. Microsoft Office là một bộ ứng dụng khá phổ biến trên hệ điều hành Windows trong mạng doanh nghiệp. Có nhiều cơ chế có thể được sử dụng với Office để duy trì sự ổn định khi một ứng dụng dựa trên Office được khởi động; Điều này có thể bao gồm việc sử dụng Macro Mẫu Office và phần bổ trợ.
T1053 Nhiệm vụ / Công việc đã lên lịch
Kẻ tấn công có thể lạm dụng chức năng lập lịch tác vụ để tạo điều kiện cho việc thực thi mã độc hại lần đầu hoặc định kỳ. Các tiện ích tồn tại trong tất cả các hệ điều hành chính để lên lịch các chương trình hoặc tập lệnh được thực thi vào một ngày và giờ cụ thể. Một tác vụ cũng có thể được lên lịch trên hệ thống từ xa, miễn là đáp ứng xác thực thích hợp (ví dụ: RPC và chia sẻ tệp và máy in trong môi trường Windows). Lập lịch tác vụ trên hệ thống từ xa thường yêu cầu phải là thành viên của quản trị viên hoặc nhóm đặc quyền trên hệ thống từ xa.
T1078 Tài khoản hợp lệ
Kẻ tấn công có thể lấy và lạm dụng thông tin đăng nhập của các tài khoản hiện có như một phương tiện để đạt được Quyền truy cập ban đầu, Tính bền vững, Nâng cấp đặc quyền hoặc Tránh né phòng thủ. Thông tin xác thực có thể được sử dụng để bỏ qua các kiểm soát truy cập được đặt trên các tài nguyên khác nhau trên các hệ thống trong mạng và thậm chí có thể được sử dụng để truy cập liên tục vào các hệ thống từ xa và các dịch vụ có sẵn bên ngoài, chẳng hạn như VPN, Outlook Web Access và máy tính từ xa. Bằng chứng xác thực cũng có thể cấp cho đối thủ một đặc quyền gia tăng đối với các hệ thống cụ thể hoặc quyền truy cập vào các khu vực hạn chế của mạng. Kẻ tấn công có thể chọn không sử dụng phần mềm độc hại hoặc công cụ
cùng với quyền truy cập hợp pháp mà thông tin đăng nhập đó cung cấp để khó phát hiện sự hiện diện của chúng hơn.