跳转至

削弱防御

对手可能会恶意修改受害者环境的组件,以阻碍或禁用防御机制。这不仅涉及削弱预防性防御措施,例如防火墙和防病毒,还包括检测能力,防御者可以使用这些能力来审计活动和识别恶意行为。这也可能包括本地防御以及用户和管理员安装的补充功能。 对手还可能削弱有助于防御卫生的常规操作,例如阻止用户注销、阻止系统关闭或禁用或修改更新过程。对手还可能针对事件聚合和分析机制,或通过更改其他系统组件来破坏这些程序。这些限制可以进一步支持恶意操作以及事件的持续传播。(引用: Google Cloud Mandiant UNC3886 2024)(引用: Emotet shutdown)