持久化 (Persistence),编号 TA0003,指的是攻击者能够在重启、更改凭据和其他可能切断其访问的中断时保持对系统访问的技术。持久化的目的就是让它们在系统上能够保持对立足点的长久地访问、操作或配置更改,例如替换或劫持合法代码,添加启动代码。
此项战术包含 19 项子战术,每项子战术包含若干个技术:
· T1098 帐户操作 (4)
· T1197 BITS Jobs (1)
· T1547 Boot 或 Logon 自启动执行 (15)
· T1037 Boot 或 Logon 自启动脚本 (5)
· T1176 浏览器扩展 (1)
· T1554 破坏客户端二进制文件 (1)
· T1136 创建帐户 (3)
· T1543 创建或修改系统进程 (4)
· T1546 事件触发 (15)
· T1133 外部远程服务 (1)
· T1574 劫持执行流 (11)
· T1525 植入内部镜像 (1)
· T1556 修改认证流程 (4)
· T1137 Office 中的 Startup (6)
· T1542 操作系统预启动 (5)
· T1053 计划任务 (6)
· T1505 软件服务组件 (4)
· T1205 Traffic Signaling (1)
· T1078 有效帐户 (4)
