入口工具传输

攻击者可能会将工具或其他文件从外部系统传输到受感染的环境中。工具或文件可以通过命令和控制通道或通过替代协议（如ftp）从外部攻击者控制的系统复制到受害者网络。一旦存在，攻击者还可能在受感染环境内的受害者设备之间传输/传播工具（即横向工具传输）。 在Windows上，攻击者可能使用各种实用程序下载工具，例如copy、finger、certutil和PowerShell命令，如IEX(New-Object Net.WebClient).downloadString()和Invoke-WebRequest。在Linux和macOS系统上，也存在各种实用程序，如curl、scp、sftp、tftp、rsync、finger和wget。(引用: t1105_lolbas) 攻击者还可能滥用安装程序和包管理器（如yum或winget）将工具下载到受害者主机。攻击者还滥用了文件应用程序功能，例如Windows的search-ms协议处理程序，通过用户执行（通常在与钓鱼诱饵交互后）触发的远程文件搜索将恶意文件传递给受害者。(引用: T1105: Trellix_search-ms) 文件还可以使用各种Web服务以及受害者系统上的本机或其他现有工具进行传输。(引用: PTSecurity Cobalt 2016年12月) 在某些情况下，攻击者可能能够利用在基于Web和本地客户端之间同步的服务（如Dropbox或OneDrive）将文件传输到受害者系统。例如，通过入侵云帐户并登录服务的Web门户，攻击者可能能够触发自动同步过程，将文件传输到受害者的机器上。(引用: Dropbox恶意软件同步)