青藤细述ATT&CK框架：攻击者最常用的TOP7攻击技术及其检测策略(6)

虽然，可以检测名称或元数据为wscript.exe的任何二进制文件，但基于文件的签名、哈希或其他标识符并不可信。因此可对文件位置建立一个基准，对上述方法进行补充。如果我们了解给定二进制文件通过哪个路径执行，则可以在其他任何地方看到该标志时，就可以触发报警。
6. “混淆文件或信息”可逃避基于签名的检测系统
攻击者可能会试图通过加密、编码或其他方式混淆系统上或传输中的可执行文件或文件内容，从而使其难以发现或分析。这是一种可以跨不同的平台和网络使用，以绕过防御的常见行为。
许多网络安全检测产品（防病毒软件、IDS等）设计为基于恶意软件的签名运行。一旦发现了在野使用的特定恶意软件变体，便会提取出该恶意软件的独特功能，并用于在未来感染中对其进行检测和识别。将通过网络边界或下载到主机的每条数据与这些签名进行比较。如果找到匹配项，则将采取措施（删除、隔离、警报等）。
混淆的目的是绕过这些基于签名的检测系统，并增加对恶意软件样本进行取证分析的难度。如果以某种方式混淆了签名所基于的数据或代码，则检测引擎在寻找纯文本签名时就无法找到匹配项。
存在许多混淆算法，例如压缩、编码、加密、隐写等等。恶意软件使用者可以隐藏各种不同类型的文件和数据。例如，恶意软件可能被设计为使用混淆来隐藏其恶意代码。或者，恶意软件变体可能会对其配置文件进行加密，从而使恶意软件分析师更难于理解其功能。
想要检测混淆文件或者信息，除非在混淆过程留下了可以检测到的独特伪像，否则很难检测文件混淆。如果无法检测，则可以去检测执行混淆文件的恶意活动（例如，用于在文件系统上写入、读取或修改文件的方法）。标记并分析包含混淆指示符和已知可疑语法（例如未解释的转义字符，如"""^""" 和"""""""）的命令。反混淆工具可以用来检测文件/有效载荷中的这些指标。
此外，可以在网络上检测到用于初始访问的有效载荷中使用了哪些混淆方法。还可以使用网络入侵检测系统和电子邮件网关筛选来识别压缩和加密的附件和脚本。某些电子邮件附件展示系统可以打开压缩和加密的附件。通过网站从加密连接传递的有效载荷需要进行加密的网络流量检查。
7. “凭据转储”让黑客在内网为所欲为
凭据转储是从操作系统和软件获取帐户登录名和密码信息的过程，通常是哈希或明文密码形式的信息。进行凭据转储后，攻击者就可以使用凭据进行横向移动及访问受限信息。