大菠萝福建app导航入口-大菠萝福建导航app-大菠萝福建导航APP免费下载!

十大常见的ATT&CK战术及技术

大菠萝福建app导航入口-大菠萝福建导航app-大菠萝福建导航APP免费下载

让建站和SEO变得简单

让不懂建站的用户快速建站,让会建站的提高建站效率!

栏目分类
大菠萝福建app导航入口-大菠萝福建导航app-大菠萝福建导航APP免费下载
大菠萝福建app导航入口
大菠萝福建导航app
大菠萝福建导航APP免费下载
最新资讯
十大常见的ATT&CK战术及技术
发布日期:2022-07-13 13:03    点击次数:111

ATT&CK框架是一个网络抑闷综符切吻契适合性知识库,议定对打击生命周期各阶段的实际不美观察,从而对打击者走为进走理解与分类,已成为研讨要挟模型和方法的基础工具。随着厂商及企业对该框架的巨大采用,ATT&CK知识库已公认成为明白打击者的走为模型与技术权威。

Picus研讨人员从各栽来源搜集了超过二十万确凿世界要挟样本,确定了样本的战术、技术和程序(TTP),并对每个TTP进走了分类,总计样本超过180万栽ATT&CK技术。Picus Labs针对此研讨发布了Red Report统计关照,包括最常见的十栽ATT&CK打击技术。此研讨发现有助于退守者发现网络违法和打击的主流趋势,并帮忙抑闷团队挑供退守策略,并有效预防、检测和回响反映要挟。

一、要紧发现

与此前数据相比,今年最鲜明的转变是增补了“T1486数据加密影响”技术的操纵,该技术首次进入前十名,排名第三。研讨外明,所分析的凶意柔件样本中有五分之一是为加密方今标体系中的文件而设计的。这一成果与勒索柔件打击的风走趋势陆续上升相似,据报道勒索柔件打击在2020年7月至2021年6月期间增补了1,070%。

研讨表现,每个凶意柔件的平均凶意走为数目有所增补。在前一年的研讨等分析的凶意柔件样本表现平均有9次凶意走为,但此刻凶意走为的平均数目为11次。这一发现与凶意柔件复杂性以及打击者的技术能力正在增补的不美观点相似。

另一个要紧发现是,“T1059命令和脚本评释器”是最风走的ATT&CK技术,分析的总计凶意柔件样本中有四分之一操纵。由于PowerShell等评释器是符切吻契适恰当的内置实用程序,没关系巨大访问操作体系的内部结构,于是打击者反复滥用它们来施走命令。

十大ATT&CK技术中有五栽被归类在“TA005退守规避”战术下。分析发现,三分之二的凶意柔件起码展示了一栽退守规避技术,这突显了打击者想要躲避抑闷团队监视的信抬。

数据加密更为常见。今年,ATT&CK的TA0040影响战术中的T1486数据加密影响技术首次进入前十名,排名第三,19%分析的凶意柔件操纵了该技术。这也评释了为何2021年勒索柔件打击的大幅增补。 凶意柔件越来越复杂。今年凶意柔件平均外现出11次凶意走为(TTP),高于2020年的9次,这突显了打击及其背后打击者的复杂性增补。 退守规避是最常见的战术。打击者操纵的最常见的MITRE ATT&CK战术是TA0005退守规避,分析发现,三分之二的凶意柔件起码展示了一栽规避技术。T1218签名二进制代理施走、T1027混杂文件或信休、T1497伪造捏造化/沙盒规避是首次出此刻关照前十名的退守规避技术。 打击者更爱滥用内置工具。打击者要紧操纵离地打击(LoL)实用程序来施走关照前十名中列出的总计技术,这外明打击者更爱滥用符切吻契适恰当工具,而不是自定义工具。该关照中最风走的技术是T1059命令和脚本评释器,分析的凶意柔件样本中有26%操纵过了该技术。这栽技术涉及滥用内置或常用的命令走界面(CLI)和脚本谈话,例如PowerShell、Apple脚本和Unix Shell,作为施走恣意命令的手法。 二、研讨方法

MITRE ATT&CK是一个基于实际世界不美观察的打击者战术、技术和程序(TTP)的开源知识库。由于ATT&CK体系地定义和机关了TTP,已成为抑闷团队之间描述TTP的通用谈话。在2021年10月发布的ATT&CK for Enterprise v10版本中,共包含14个战术(Tactics)和188个技术(Techniques)。

Picus Labs研讨人员分析了2020年10月至2021年10月期间的231,507个文件,其中204,954个文件(89%)被归类为凶意文件,并从这些文件中挑取了2,197,025个操作,每个凶意柔件平均有11个凶意操作(TTP)。由于众个操作简略映射到统一技术,2,197,025个作为被映射到1,871,682项MITRE ATT&CK技术,平均每个凶意柔件有9项MITRE ATT&CK技术。

Picus Labs研讨人员确定了数据聚积的凶意文件操纵了哪栽技术。然后计算了操纵每栽技术的凶意柔件的百分比。例如,打击者在204,954个凶意文件中的53,582个(26%)中操纵了“T1059命令和脚本评释器”技术。

三、十大ATT&CK技术 1. T1059命令和脚本评释器

T1059命令和脚本评释器(Command and Scripting Interpreter)技术属于TA0002施走(Execution)战术,有53,582个(26%)凶意柔件样本操纵了该技术。

命令和脚本评释器是打击者用来在方今标体系上施走命令、脚本和二进制文件的一栽施走技术。于是不出所料,这项技术在关照中排名第一。命令和脚本评释器是为符切吻契适恰当用户开发的,但打击者也反复操纵它们来运走他们的代码、与本地和长途体系交互以及在打击行动期间施走其他柔件。

评释器(Interpreter)是一栽计算机程序,它直接施走用编程或脚本谈话编写的指令,而无需事先编译。评释器在程序运走之前不需求编译过程,它直接一条一条的运走指令,这是打击者更爱命令和脚本评释器的缘故之一。

这栽技术包括命令评释器和脚本评释器。命令评释器(Command Interpreters)根据用户以交互模式挑交的命令或议定程序中存在的命令施走评释。操作体系具有内置的本机命令评释器,例如Windows中的Windows Command Shell和PowerShell,以及类Unix体系中的 Unix Shell。顾名思义,命令评释器也被称为shell。除了内置的操作体系命令Shell之外,一些编程谈话如Python、Perl和Ruby也有命令评释器。

脚本评释器(Scripting Interpreter)评释和施走脚本中揭示的命令,而无需编译。脚本是用脚本谈话编写的一组有序命令,脚本谈话是一栽评释性编程谈话,无需编译即可施走脚本。一些有名的脚本谈话是Windows中的PowerShell和VBScript、类Unix体系中的Unix Shell、macOS中的AppleScript、JavaScript、JScript、Python、Perl和Lua。命令评释器也包含在一些脚本谈话中,例如PowerShell、Unix shell、Python和Perl。

体系管理员和程序员等符切吻契适恰当用户操纵命令评释器来施走恣意职守。他们操纵脚本评释器议定在脚本中自动化来加速操作职守。

固然命令和脚本评释器是为符切吻契适恰当用户开发的,但在打击行动期间,打击者反复操纵一个或众个评释器来施走凶意代码,并与本地和长途体系交互。例如,打击者操纵脚本枚举正在运走的服务和进程,发现体系和用户信休,并议定在用户每次登录时施走凶意负载来在受害者计算机中持久化。

此外,Windows体系中的PowerShell和VBScript、类Unix体系中的Unix shell、macOS中的AppleScript等一些脚本谈话没关系议定API直接与操作体系交互,于是打击者没关系操纵它们来绕过脆弱的进程监控机制。它们是操作体系中的内置工具,于是操纵它们比操纵自定义工具更匿伏。

T1059命令和脚本评释器技术有八个子技术(Sub-Techniques),分袂为:T1059.001 PowerShell、T1059.002 AppleScript、T1059.003 Windows Command Shell、T1059.004 Unix Shell、T1059.005 Visual Basic、T1059.006 Python、T1059.007 JavaScript和T1059.008网络设备CLI。

2. T1055进程注入

T1055进程注入(Process Injection)技术属于TA0004权限升迁(Privilege Escalation)和TA0005退守规避(Defense Evasion)战术,有43,639个(21%)凶意柔件样本操纵了该技术。

打击者总是试图在其高级网络打击中实现更高程度的匿伏、持久性和特权。作为没关系挑供这些功能的机制,进程注入照旧位于关照列外顶部也就不克为奇了。

议定列出正在运走的进程并过滤落空作为操作体系或已安设柔件的符切吻契适恰当进程,没关系伶俐检测凶意柔件进程。假设凶意柔件没关系将其凶意代码封装在符切吻契适恰当进程中,将匿伏在受感染的体系中。进程注入是一栽陈旧但有效的技术,包括在另一个进程的地址空间内运走恣意代码。于是,该技术没关系访问方今标进程的内存、体系和网络资源。

进程注入为打击者挑供了三个鲜明甜头:

在符切吻契适恰当进程下施走代码简略会回避抑闷控制,列入白名单的符切吻契适恰当进程会假装凶意代码以回避检测。 由于凶意代码是在符切吻契适恰当进程的内存空间内施走的,也简略回避磁盘取证。 假设方今标进程具有升迁的权限,则此技术将启用权限升迁。例如,假设方今标进程没关系访问网络资源,则凶意代码没关系议定互联网以及与统一网络上的其他计算机进走符切吻契适恰当通信。

抑闷控制没关系快速检测自定义进程。于是,要挟走为者操纵常见的Windows进程,例如explorer.exe、svchost.exe、dllhost.exe、services.exe、cvtres.exe、msbuild.exe、RegAsm.exe、RegSvcs.exe、rundll32.exe、arp.exe 、PowerShell.exe、vbc.exe、csc.exe、AppLaunch.exe和cmd.exe等内置本机Windows进程,以及iexplore.exe、ieuser.exe、opera.exe、chrome.exe、firefox.exe、outlook.exe、msinm.exe等通用柔件进程。

T1055进程注入有十一个子技术,分袂为:T1055.001 DDL注入、T1055.002便携式可施走(PE)注入、T1055.003线程施走劫持注入、T1055.004异步过程调用(APC)注入、T1055.005线程本地存储(TLS)注入、T1055.008 Ptrace体系调用注入、T1055.009 Proc内存注入、T1055.011额外窗口内存(EWM)注入、T1055.012 Process Hollowing、T1055.013 Process Doppelgänging以及T1055.014 VDSO劫持。

3. T1486数据加密影响

T1486数据加密影响(Data Encrypted for Impact)技术属于TA0040影响(Impact)战术,有37,987个(19%)凶意柔件样本操纵了该技术。

打击者加密方今标体系上的数据,以防止访问体系和网络资源。这些打击简略以收好为导向,如勒索柔件打击,或者纯粹是败坏性的。正如众数勒索柔件打击所外明的那样,当数据被加密时,机关的运营能力会受到鲜明影响。由于2021年勒索柔件打击的数目和影响陆续增补,该技术快捷进入十大ATT&CK技术的第三名。

在迩来的勒索柔件样本中,打击者操纵众栽加密算法来最大化加密性能和抑闷性。此外,这栽方法在加密时不需求连接互联网,只有在解密时需求连接互联网。

在这栽搀杂加密方法中,勒索柔件操纵对称(密钥)加密算法对文件进走加密,然后操纵非对称(公钥)加密算法对对称加密中操纵的密钥进走加密。

对称加密算法(也称为密钥加密)操纵相似的密钥来加密妥协密数据。AES、DES、3DES、Salsa20、ChaCha20和Blowfish是一些风走的对称加密算法。由于对称加密比非对称加密快得众,于是它最符切吻契适合意大量数据的批量加密。于是对称加密特别专门符切吻契适合意在勒索柔件请求的短时间内加密数千个文件。此外,对称算法清淡挑供较幼的文件大幼,从而实现更快的传输和更少的存储空间。

尽管对称加密具有结实的性能和高效率,但它有两个要紧节制。第一个节制是密钥分配题目。对称加密要紧基于加密密钥必须保密的请求。然而,抑闷地分发密钥具有挑衅性。对于勒索柔件,此节制外现为将密钥保存在受害机器中。研讨人员没关系找到密钥,并且由于它别国加密,于是没关系创建一个操纵密钥解密文件的工具。

第二个节制是密钥管理题目。由于每对发送方和接纳方都需求一个唯一的密钥,于是所需的密钥数目随着用户的增加而增补。对于勒索柔件,勒索柔件操作者必须为每台受害机器创建分歧的密钥,并将总计密钥保密。否则,假设总计机器都操纵相似的密钥,假设在其中一台机器上败露了密钥,则没关系操纵败露的密钥解密勒索柔件加密的总计文件。

非对称加密(也称为公钥加密)解决了密钥分发和密钥管理题目。非对称加密算法操纵两栽分歧的密钥:私钥和公钥。发送方没关系操纵接纳方的公钥对新闻进走加密,但该加密新闻只能操纵接纳方的私钥解密。私钥必须对其总计者保持私有,而公钥没关系议定方今录公开访问。于是,勒索柔件操作者没关系为每台受害机器创建分歧的公钥,并让这些公钥在受害机器上可访问。即使有人找到了公钥,假设别国勒索柔件运营商的私钥,他们也无法解密文件。

非对称加密的要紧弊端是它比对称加密慢得众。这是由于非对称加密的数学复杂性,需求更众的计算能力。

勒索柔件开发人员将对称加密和非对称加密(一栽搀杂加密方法)结符切吻契适合首来,以排除这两栽技术的弊端。他们操纵对称密钥算法对受害体系中的文件进走批量加密,并操纵非对称密钥算法对对称算法操纵的隐秘密钥进走加密。于是,勒索柔件开发人员答用对称算法的加密性能,同时答用非对称算法的结实抑闷性。

勒索柔件要紧操纵Windows API来答用对称和非对称算法,例如DES、AES、RSA 和RC4加密。例如,Nefilim滥用Microsoft的Enhanced Cryptographic Provider来导入加密密钥,并操纵API函数对数据进走加密。勒索柔件清淡会查询每台主机的唯一信休,以生成主机的唯一标识符,用于加密/解密过程,例如加密机GUID和卷信休(磁盘卷名和序列号)。

4. T1218签名二进制代理施走

T1218签名二进制代理施走(Signed Binary Proxy Execution)技术属于TA0005退守规避(Defense Evasion)战术,有32,133个(16%)凶意柔件样本操纵了该技术。

签名二进制文件,即操纵可信数字证书签名的二进制文件,没关系在受数字签名验证和答用程序控制钦慕的Windows操作体系上施走。然而,打击者反复滥用这些符切吻契适恰当的二进制文件来回避抑闷控制。这些二进制文件也称为离地打击二进制文件(LOLBins)。

签名二进制代理施走是指议定操纵另一个用可信数字证书签名的可施走文件来施走命令或可施走文件的过程。打击者答用签名可施走文件的坚信来回避退守机制。

T1218签名二进制代理施走有十三个子技术,分袂为:T1218.001 CHM文件、T1218.002控制面板、T1218.003 CMSTP、T1218.004 Installutil.、T1218.005 Mshta、T1218.007 Msiexec、T1218.008 Odbcconf、T1218.009 Regsvcs/Regasm、T1218.011 Rundll32、T1218.012 Verclsid、T1218.013 Mavinject、T1218.014 MMC。

5. T1003操作体系凭证转储

T1003操作体系凭证转储(OS Credential Dumping)技术属于TA0006凭证访问(Credential Access)战术,有29,355个(14%)凶意柔件样本操纵了该技术。

一旦打击者设置了对体系的初首访问权限,他们的要紧方今标之一就是找到访问环境中其他资源和体系的凭据。作为获取账户登录和暗号信休的机制,凭据转储是十大最常用的MITRE ATT&CK技术的第五名。

在操纵升迁的权限危害体系后,打击者会尝试转储尽简略众的凭据。MITRE ATT&CK框架的凭证转储技术使打击者可以从操作体系和柔件中获取账户登录和暗号信休。这些凭据没关系赋予更高级别的访问权限,例如特权域账户,或者相似的凭据没关系用于其他资产。打击者操纵此技术搜集的凭据来:

访问受限信休和关键资产; 议定操纵相似凭据危害其他体系,在网络中施走横向移动; 创建新账户、施走操作和删除账户以排除跟踪; 分析暗号模式和暗号策略以表现其他凭据。

T1003操作体系凭证转储有八个子技术,分袂为:T1003.001 LSASS内存、T1003.002抑闷账号管理器、T1003.003 NTDS、T1003.004 LSA暗号、T1003.005缓存域凭据、T1003.006 DCSync、T1003.007 Proc文件体系、T1003.008 /etc/passwd和/etc/shadow。

6. T1027混杂文件或信休

T1027混杂文件或信休(Obfuscated Files or Information)技术属于TA0005退守规避(Defense Evasion)战术,有26,989个(13%)凶意柔件样本操纵了该技术。

打击者议定加密、编码、压缩或以其他方式在体系上或传输中匿伏可施走文件或文件的内容,从而混杂可施走文件或文件的内容。这是一栽常见的打击走为,可用于绕过众个平台和网络的退守。该技术在往年别国进入前十,但今年排名第六。

打击者混杂凶意文件、代码、命令、配置和其他信休,以避免被抑闷控制检测到。最常见的混杂方法有:

转变数据方法:这栽方法包括转换数据以避免检测的机制,例如压缩、打包和归档。其中一些机制需求用户交互才能将数据恢复为原首方法,例如挑交暗号以翻开受暗号钦慕的文件。 更改数据大幼:此方法包括诸如二进制填充之类的机制,可在不影响其功能和走为的情况下增补凶意文件的大幼。其方针是避开未配置为扫描大于特定大幼的文件的抑闷工具。 匿伏凶意数据:这些机制将凶意数据匿伏在看似良性的文件中。在匿伏到文件中之前,没关系拆分数据以降矬其检测率。信休隐写和HTML私运是这栽方法的一些例子。 混杂或删除指标:此方法包括用于从凶意文件中混杂或删除危害指标以避免检测的机制。文件签名、环境变量、字符、片面名称和其他平台/谈话/答用程序特定语义是一些指标。 打击者议定混杂/删除以绕过基于签名的检测。

T1027混杂文件或信休有六个子技术,分袂为:T1027.001二进制填充、T1027.002柔件打包、T1027.003信休隐写、T1027.004交付后编译、T1027.005从工具中移除指标、T1027.006 HTML私运。

7. T1053计划职守

T1053计划职守(Scheduled Task/Job)技术属于TA0002施走(Execution)、TA0003陆续性(Persistence)和TA0004权限升迁(Privilege Escalation)战术,有21,367个(11%)凶意柔件样本操纵了该技术。

计划职守是指在改日的特守时间、守时(如每周一的破晓1:00)或在定义的事件发生时(如用户登录体系)施走的命令、程序或脚本。符切吻契适恰当用户(如体系管理员)操纵计划职守自动创建和运走操作职守。

打击者还操纵操作体系的职守调度实用程序按定义的时间外或在体系启动时施走凶意负载,以实现持久性。研讨发现,计划职守是打击者在其凶意柔件中操纵的第七大ATT&CK技术。

操作体系和平台挑供的一些实用程序,没关系顺从定义的时间外自动施走程序或脚本,例如微柔Windows的schtasks.exe和at.exe、Linux的at、类Unix操作体系的cron、macOS的launchd、systemd timers、以及Kubernetes的cronjobs。

T1053计划职守有七个子技术,分袂为:T1053.001 at(Linux)、T1053.002 at(Windows)、T1053.003 cron、T1053.004 Launchd、T1053.005计划职守、T1053.006 Systemd Timers、T1053.007容器编排。

8. T1036假装

T1036假装(Masquerading)技术属于TA0005退守规避(Defense Evasion)战术,有18,702个(9%)凶意柔件样本操纵了该技术。

作为一栽退守规避技术,打击者将其凶意柔件的特征更改为符切吻契适恰当和可信的。代码签名、凶意柔件文件的名称和位置、职守和服务的名称都是这些功能的示例。假装后,打击者的凶意柔件文件对用户和抑闷来说都是符切吻契适恰当的。用于退守回避的假装对象没关系分为四类:

扩展名:T1036.002从右到左掩盖、T1036.006文件名后的空格以及T1036.007双文件扩展名涉及哄骗用户或答用程序翻开一个看首来像良性文件类型的文件,由于它明明的扩展名,但其实是凶意柔件。用户看到的扩展名实际上并不逆映文件确凿的扩展名。 名称:打击者简略会将凶意文件名更改为符切吻契适恰当且受坚信的答用程序的名称,例如flash_en.exe(T1036.005匹符切吻契适合作法名称或位置)。但是,打击者也会在操纵符切吻契适恰当体系实用程序之前更改其名称,由于某些抑闷工具会监控这些内置体系实用程序以检测其猜疑操纵情况(T1036.003重命名体系实用程序)。除了文件名之外,打击者还会用符切吻契适恰当的职守或服务的名称来假装职守或服务的名称,使其看首来是良性的并避免检测(T1036.004假装职守或服务)。 位置:打击者简略会将凶意文件安顿在C:\Windows\System32等受坚信方今录中以回避退守。他们还简略创建一致于已知柔件操纵的方今录,例如C:\Intel\。有时,打击者会假装凶意柔件的整个路径,包括方今录和文件名,例如C:\NVIDIA\NvDaemon.exe。这些方法归类在T1036.005匹符切吻契适合作法名称或位置。 签名:打击者复制有效和签名程序的元数据和代码签名信休,并在其凶意柔件中操纵这些信休来回避退守(T1036.001无效代码签名)。

T1036假装有七个子技术,分袂为:T1036.001无效代码签名、T1036.002从右到左掩盖、T1036.003重命名体系实用程序、T1036.004假装职守或服务、T1036.005匹符切吻契适合作法名称或位置、T1036.006文件名后的空格、T1036.007双文件扩展名。

9. T1082体系信休发现

T1082体系信休发现(System Information Discovery)技术属于TA0007发现(Discovery)战术,有17,024个(8%)凶意柔件样本操纵了该技术。

当打击者获得对体系的初首访问权限时,他们会不美观察环境并获得相关体系的知识,然后打击者操纵搜集到的体系信休来确定如何在后续走为中采取走动。

在对体系进走初首访问后,打击者需求搜集相关体系的信休,来决定如何陆续打击。打击者清淡会搜集的信休包括:主机/用户信休,如主机名、用户名、域名、注册总计者、注册机关、寻常运走时间等;操作体系信休,如操作体系名称、操作体系版本、体系区域设置、键盘布局、修缮程序等;硬件信休,如CPU架构、处理器、总物理内存、网卡、IP地址、CPUID/ProcessorID、卷序列号、磁盘大幼、屏幕分辨率等。

打击者反复操纵内置的操作体系实用程序来发现体系信休,包括体系信休、体系设置和IaaS API调用。Systeminfo是一个Windows实用程序,可表现相关计算机及其操作体系的细密配置信休。Systemsetup是一个macOS命令,它操纵户可以搜集和配置清淡在体系首选项答用程序中配置的特定每台机器设置。打击者操纵API来获取相关云基础设施即服务(IaaS)挑供商,例如Amazon Web Services(AWS)、Microsoft Azure和Google Cloud Platform(GCP)中实例的信休。

10. T1497伪造捏造化/沙箱规避

T1497伪造捏造化/沙箱规避(Virtualization/Sandbox Evasion)技术属于TA0005退守规避(Defense Evasion)和TA0007发现(Discovery)战术,有12,810个(6%)凶意柔件样本操纵了该技术。

打击者简略会向其凶意柔件加加体系和用户信休发现功能,以检测和避免伪造捏造化和分析环境,例如凶意柔件分析沙箱。假设凶意柔件检测到伪造捏造机或沙箱环境,就会摆脱受害者或不施走凶意功能,例如下载额外负载。

凶意柔件分析人员反复评估间隔环境中的未知代码,例如伪造捏造机(VM)或沙箱。同样,抑闷产品清淡操纵这些环境在核准凶意柔件进入机关网络之前施走埋没凶意代码以进走动态凶意柔件分析。作为凶意柔件分析的成果,确定了凶意柔件及其IOC(危害指标)操纵的TTP(战术、技术和程序)。TTP和IOC用于检测凶意柔件。

自然,凶意柔件开发人员不希看在孤立的环境等分析他们的凶意柔件,于是他们设计代码来检测伪造捏造机和沙箱环境,并避免在这些孤立的环境中运走时外现出凶意走为。例如,假设检测到沙箱环境,Agent Tesla长途访问木马(RAT)就会关闭。

打击者操纵各栽方法来回避伪造捏造机和沙箱环境,这些方法被称为Anti-Sandbox或Anti-VM方法。清淡,这些方法涉及搜索这些环境的典型特征。这些特征简略是受害体系的某些属性或对象,例如VM供答商的特定MAC地址,以及体系中凡俗用户创建的通用工件的缺失,例如空的涉猎器历史记录。

T1497伪造捏造化/沙箱规避有三个子技术,分袂为:T1497.001体系检查、T1497.002用户行动检查、T1497.003时间规避。