译者: 林妙倩、戴亦仑 原创翻译作品,如果需要转载请取得翻译作者同意。
数据来源:ATT&CK Matrices
原文: https://attack.mitre.org/techniques/T1061
术语表: /attack/glossary
图形用户界面 (GUI) 是与操作系统交互的常见方式。攻击者可以在操作期间通常通过远程交互式会话(如远程桌面协议)使用系统的 GUI,而不是通过命令行界面,通过鼠标双击,Windows 的 Run 命令,或其他可能难以监控交互的方式来搜索信息和执行文件。
防止攻击者通过凭据访问(Credential Access)获取可用于登录到系统上的远程桌面会话的访问。
识别可能用于登录远程交互会话的不必要的系统实用程序、第三方工具或潜在的恶意软件,并在适当的情况下使用白名单工具(如 AppLocker 和软件限制策略 ) 审计和/或拦截它们。
通过 GUI 检测执行可能会导致严重的误报。应考虑其他因素来检测可能导致攻击者通过交互式远程会话获得对系统的访问的服务滥用。
通过远程交互会话在特定系统上的正常行为外启动未知或异常的进程是可疑的。收集和审核可能表明访问和使用合法凭据以访问网络中的远程系统的安全日志,