跳转至

降级攻击

对手可能会降级或使用系统功能的版本,这些版本可能已过时、存在漏洞和/或不支持更新的安全控制。降级攻击通常利用系统的向后兼容性,将其强制为不太安全的操作模式。 对手可能会降级并使用系统功能的各种不太安全的版本,例如命令和脚本解释器或甚至可以被滥用以启用中间人攻击网络嗅探的网络协议。(引用: Praetorian TLS Downgrade Attack 2014) 例如,PowerShell 版本 5+ 包括脚本块日志记录 (SBL),可以记录执行的脚本内容。然而,对手可能会尝试执行不支持 SBL 的早期版本的 PowerShell,目的是在运行可能被检测到的恶意脚本时削弱防御。(引用: CrowdStrike BGH Ransomware 2021)(引用: Mandiant BYOL 2018)(引用: att_def_ps_logging) 对手可能同样会针对网络流量,从加密的 HTTPS 连接降级到暴露网络数据的非加密 HTTP 连接。(引用: Targeted SSL Stripping Attacks Are Real)(引用: Crowdstrike Downgrade)