阿摩線上測驗
2. 下列何項屬於 MITRE ATT&CK 中的憑證存取(Credential Access)戰術(Tactic)?
(A) 從本機系統蒐集資料(Data from Local System)
(B) 外部遠端服務使用(External Remote Services)
(C) 清除 Windows 事件記錄(Clear Windows Event Logs)
(D) 作業系統憑證傾印(OS Credential Dumping)
答案:登入後查看
統計: A(2), B(2), C(0), D(10), E(0) #3871577
統計: A(2), B(2), C(0), D(10), E(0) #3871577
詳解 (共 1 筆)
洪承佑
#7367153
這題的正確答案是 (D) 作業系統憑證傾印 (OS Credential Dumping)。
以下針對各選項在 MITRE ATT&CK 框架中的戰術分類進行詳細說明:
選項分析與說明
| 選項 | 技術名稱 (Technique) | 所屬戰術 (Tactic) | 說明 |
| (A) | 從本機系統蒐集資料 (Data from Local System) | 資料收集 (Collection) | 攻擊者試圖從本機檔案系統或資料庫中尋找並匯集敏感資訊(如文件、圖片等),準備後續外傳。 |
| (B) | 外部遠端服務使用 (External Remote Services) | 持續性 (Persistence) / 防禦規避 (Defense Evasion) | 攻擊者利用 VPN、RDP 或其餘遠端維護管道來維持對目標環境的存取權。 |
| (C) | 清除 Windows 事件記錄 (Clear Windows Event Logs) | 防禦規避 (Defense Evasion) | 這是屬於「指標清除 (Indicator Removal)」的一環,目的在於抹除攻擊足跡,防止被資安監控設備(如 SIEM)偵測。 |
| (D) | 作業系統憑證傾印 (OS Credential Dumping) | 憑證存取 (Credential Access) | 正確答案。 指攻擊者從作業系統(如 Windows 的 LSASS 記憶體或 SAM 資料庫)中提取帳號密碼、Hash 或 Token,以獲取進一步權限。 |
補充知識:什麼是憑證存取 (Credential Access)?
憑證存取戰術的核心目標是「竊取登入資訊」。常見的手段包括:
-
Brute Force(暴力破解)
-
Input Capture(鍵盤側錄)
-
OS Credential Dumping(如使用 Mimikatz 提取 LSASS 中的憑證)
-
Steal or Forge Kerberos Tickets(如 Golden Ticket 攻擊)
在資安維護上,針對 (D) 選項,通常會透過啟用 Windows Credential Guard 或監控異常的 LSASS 程序存取行為來進行防禦。
0
0