非常感谢,正需要MITRE的中文的详尽介绍,感谢大佬。
写在最前面:如题所见,本文旨在介绍MITRE ATT&CK威胁框架的基础知识,
写在目的有二:
- 其一、自身学习,ATT&CK框架的内容很多,希望通过本文整理出系统的知识结构,便于后续学习。
- 其二、知识分享,希望这篇文章可以帮助刚开始接触ATT&CK框架的朋友更加快速、简单的入门。
阅读建议:ATT&CK框架的内容很多,包括
战术、技术、数据集、缓解措施、检测方法、关联APT组织和恶意软件等众多组件,涵盖企业与云服务端、移动设备端、工控设备端等多个技术领域,涉及威胁情报、检测分析、攻击模拟、评估改进等多个应用领域,所以虽然本文题目叫做一文搞清楚MITRE ATT&CK威胁框架,但是想要仅仅通过本文就掌握该框架是不现实的。本文更多起到入门引导作用,笔者会尽力对该框架的基础知识进行详尽的介绍,至少保证读者在读完本文后对ATT&CK框架有更加实际的理解,而非停留在镜花水月、空中楼阁之境。同时笔者后续会更新一系列相关文章,具体文章架构参见本文末尾。
ATT&CK框架介绍
顾名思义
MITRE ATT&CK,全称是MITRE Adversarial Tactics Techniques and Common Knowledge,即入侵者战术、技术和共有知识库,是以骇客的视角,针对网络攻击入侵进行分类和说明的指南,由非营利组织MITRE所创建。
MITRE:https://www.mitre.org/
MITRE(The MITRE Corporation)是一家非营利性的美国研究和技术组织,成立于1958年,最初从麻省理工学院林肯实验室分离出来。该组织在众多关键领域为美国政府提供系统工程、研究开发和信息技术支持服务,尤其以网络安全、国防技术、航空系统、医疗保健、生物识别技术和公共政策分析等方面的研究与应用闻名。
- 在网络安全领域,MITRE创建并维护了
Common Vulnerabilities and Exposures (CVE) 编号系统,这是一个国际标准,用于标识已知的安全漏洞和 exp。 - MITRE还开发了
ATT&CK(Adversarial Tactics, Techniques & Common Knowledge)框架,这是一种行业广泛采用的方法,用于描述对手在网络攻击中的战术、技术和过程(TTPs)
深入理解
ATT&CK是基于真实世界观察的对抗技术知识库。ATT&CK 专注于攻击者在操作过程中如何与系统交互,反映攻击者攻击生命周期的各个阶段以及不同平台使用的各种技术。
ATT&CK很大程度上是对抗性技术的知识库,对抗性技术是对可用于特定平台(如Windows)的攻击性操作的细分和分类。与该领域之前的工作不同,重点不在于对手使用的工具和恶意软件,而在于他们在操作过程中如何与系统交互。
ATT&CK是一个系统地对对手行为进行分类的模型。该模型的主要组成部分是:(后续会介绍完整的10个组件)
战术,代表“为什么”或对手执行某项行动的原因。
战术代表了 ATT&CK 技术的“原因”,是对手执行行动的战术目标。战术可作为单个技术的上下文类别,并涵盖对手在操作期间执行操作的标准,例如持久化、横向移动、数据窃取等。
技术,代表对手实现战术目标的方式
例如,攻击者可能会转储凭据,以获取对网络中有用凭据的访问权限,这些凭据稍后可用于横向移动。技术也可以表示对手通过执行操作获得的“什么”。实现战术目标的方法或技术可能有很多种,因此每个战术类别都有多种技术。
子技术,对对抗行为的更具体或更低层次的描述
ATT&CK由一系列技术领域组成,即对手在其中运作的生态系统。目前,有三个技术领域:
每个域中都有平台,可以是操作系统或应用程序(例如 Microsoft Windows)。技术和子技术可以应用于多个平台。
该框架有四个常见的应用场景:(只是简单介绍,后续系列会扩展实践)
一是用于检测和分析:帮助网络防御者分析攻击者行为,以检测对手使用的技术
示例1-介绍了如何开始使用 ATT&CK 进行三种不同复杂程度的检测和分析。
示例2-介绍了一种使用 ATT&CK 构建、测试和改进基于行为的分析检测功能的方法。
更多资源:https://attack.mitre.org/resources/get-started/detections-and-analytics/
二是用于威胁情报:为分析人员提供了一种通用的语言来构建、比较、分析威胁情报
- 示例1-介绍了如何开始使用 ATT&CK 进行三种不同复杂程度的检测和分析。
三是用于对手仿真和红队行动:ATT&CK 提供了一种通用语言和框架,红队可以使用该语言和框架来模拟特定威胁并规划其行动。
四是用于评估与工程决策:ATT&CK 可用于评估组织的能力并推动工程决策,例如应该实施哪些工具或审计哪些日志记录。
ATT&CK框架的构成
上文提到过ATT&CK各个字母的含义,即
战术、技术和常识,这三者构成了整个ATT&CK知识库。为了更加精确的划分和更加深入的理解,将战术、技术和常识细分为了9个组件:战术、技术、子技术、数据源、缓解措施、资产、攻击组织、软件、攻击活动,这9个组件是官网信息的主要构成部分,也是Navigator工具搜索控件的目标。注:下面主要介绍各个组件在ATT&CK中的描述方式和查看方法,更加具体的内容会在后续系列更新,如各个战术技术的详细描述。
各个组件之间的关联
在ATT&CK框架中,上述9个组件是通过技术关联起来的,如下图所示:(资产组件专属于ICS领域)
下面具体介绍这几个组件
组件:战术、技术与子技术
战术、技术与子技术是ATT&CK框架的核心,具体概念参见上文ATT&CK框架介绍。下面主要介绍在ATT&CK框架中是如何描述这些组件的。
打开官网(https://attack.mitre.org/),首页会**给出一个矩阵**(`ATT&CK Matrix for Enterprise`),如下图,这个矩阵便是战术、技术和子技术在ATT&CK框架中最直观的显示方式。
这个矩阵的内容很容易理解:
- 可以根据不同的技术领域选择不同的矩阵,如
Enterprise、Mobile、ICS(首页给出的是Enterprise,因为该领域是应用范围最广、涉及知识最详细的) - 可以在题目下方选择布局(
side和flat,在Navigator中还有Mini)、选择是否显示子技术 - 矩阵的第一行是框架中的14个战术,可以点击链接到具体介绍
- 矩阵的每一列对应该战术包含的技术和子技术,同样的,可以点击链接到具体介绍
除了矩阵这一直观显示方式,也可以在菜单栏选择战术或者技术汇总,如下图:
以Enterprise下的Tactics为例,如下图,该页面是所有战术信息的汇总界面,可以查看不同领域下的战术信息,如战术数量、战术编号、战术描述等,也可以快速链接到某一具体的战术界面。
也可以通过菜单栏选择所有的技术汇总,如下图,以Enterprise下的Techniques为例,该界面汇总了所有的技术信息,可以选择不同的技术领域、不同战术下的不同技术、同一个技术下的不同子技术,还可以看到当前版本下某一个领域的技术和子技术数量。
总结如下:
- 战术、技术和子技术是ATT&CK框架的核心内容,战术是攻击者的目标、技术和子技术是这一目标的具体实现方法。
- ATT&CK给出了一个威胁矩阵,将战术、技术和子技术通过直观的方式汇总到一起。可以通过
Navigator根据对该矩阵进行细致操作,具体参见后续工具使用系列。 - 可以在主页菜单栏选择战术或技术汇总界面,以便查看更加详细的描述。
组件:数据源
下面要介绍的组件是数据源,即Data Source,可以在下图中查看菜单栏选择,ATT&CK将数据源归类到防御一栏。
如下图,通过上菜单栏可以进入数据源汇总界面,在该界面可以查看数据源的整体信息,包括数据源数量、数据源目录等。
下面介绍数据源的组成,如下图,数据源包括名称、基本描述、元数据和数据组件,其中元数据是指该数据源的编号、平台、贡献值、版本等本体信息,数据组件是指该数据源与具体技术的关联。
下面介绍数据源的作用:用于某技术的检测,通过数据组件与技术进行关联。如下图,在技术介绍界面,关于检测方法一栏会引入数据源和数据组件。
组件:缓解措施
下面要介绍的组件是缓解措施,即Mitigations,可以在下图中查看菜单栏选择,ATT&CK将缓解措施归类到防御一栏。
如下图,通过上菜单栏可以进入缓解措施汇总界面,以Enterprise为例,在该界面可以查看Enterprise领域下包含的所有的缓解措施,一共有43个,以列表的形式列出。
某一具体缓解措施由以下部分组成:基本描述、元数据、技术关联、Navigator信息、参考来源,如下图。
元数据:该缓解措施的编号、版本、日期等。技术关联:该缓解措施可以预防或者解决的具体技术Navigator信息:将该缓解措施关联的技术在矩阵中标注参考:该措施的消息来源
下面介绍缓解措施的作用:描述预防或者缓解某一技术的方法。如下图,在技术介绍界面,引入了Mitigations一栏,以表述这一技术关联哪些缓解措施。
组件:资产
下面要介绍的组件是资产,即Assets,可以在下图中查看菜单栏选择,ATT&CK将资产归类到防御一栏。
如下图,通过上菜单栏可以进入资产汇总界面,在该界面可以查看ATT&CK的所有资产信息,目前一共有14个,资产表示ICS环境中常见的设备和系统。(只有ICS领域有资产信息,Enterprise和Mobile没有)
注:要将资产和平台区分。平台通常描述操作系统或应用程序(即 Microsoft Windows),而资产表示设备,其中包括硬件、软件、体系结构和预期功能的考虑因素
某一具体资产信息由以下部分组成:基本描述、元数据、技术关联、Navigator信息,如下图。
元数据:该资产的编号、版本、平台、日期等。技术关联:该资产对应的具体技术Navigator信息:将该资产关联的技术在矩阵中标注
组件:攻击组织
下面要介绍的组件是攻击组织,即Groups,可以在下图中查看菜单栏选择,ATT&CK将攻击组织归类到检测一栏。
如下图,通过上菜单栏可以进入攻击组织汇总界面,在该界面可以查看ATT&CK下包含的所有的攻击组织,一共有143个,以列表的形式列出。在该界面可以查看每一个攻击组织的编号(以G开头)、名称、关联组织、基本信息描述等。
某一具体攻击组织由以下部分组成:基本描述、元数据、技术使用、软件使用、Navigator信息、参考来源,如下图。
元数据:该攻击组织的编号、贡献者、版本、日期等。技术使用:该攻击组织在攻击过程中使用的各种技术软件使用:该攻击组织在攻击过程中使用的各种软件Navigator信息:将该攻击组织关联的技术在矩阵中标注
下面介绍攻击组织的作用:为了更加深入的理解ATT&CK的各种技术,给出了实际攻击组织的使用情况。如下图,在技术介绍界面,引入了在野使用一栏,以表述哪些攻击组织使用了该技术。
组件:软件
下面要介绍的组件是软件,即Software,可以在下图中查看菜单栏选择,ATT&CK将软件归类到检测一栏。
如下图,通过上菜单栏可以进入软件汇总界面,在该界面可以查看ATT&CK下包含的所有的软件信息,一共有760个,以列表的形式列出。在该界面可以查看每一个软件的编号(以S开头)、名称、关联、基本信息描述等。
软件是自定义代码、操作系统程序、开源软件、 或用于执行在 ATT&CK 中建模行为的其他工具。可以大体分为两类:
- 工具 - 商业、开源、内置或公开可用的软件,可供防御者、渗透测试人员、红队成员使用。此类别既包括通常在企业系统上不存在的软件,也包括操作系统的一部分提供的软件。例如包括 PsExec、Metasploit、Mimikatz 以及 Windows 实用程序(如 Net、netstat、Tasklist 等)。
- 恶意软件 - 被攻击者用于恶意目的的商业、自定义闭源或开源软件。例如 PlugX、CHOPSTICK 等。
某一具体软件信息由以下部分组成:基本描述、元数据、关联技术、关联组织、Navigator信息、参考来源,如下图。
元数据:该攻击组织的编号、贡献者、版本、日期等。技术使用:该软件在攻击过程中使用的各种技术关联组织:该攻击组织在攻击过程中使用的各种软件Navigator信息:将该软件关联的技术在矩阵中标注
下面介绍软件的作用:为了更加深入的理解ATT&CK的各种技术,给出了实际攻击软件的技术使用情况。如下图,在技术介绍界面,引入了在野使用一栏,以表述哪些攻击软件使用了该技术。
组件:攻击活动
下面要介绍的组件是攻击活动,即Campaigns,可以在下图中查看菜单栏选择,ATT&CK将攻击活动归类到检测一栏。
如下图,通过上菜单栏可以进入攻击活动汇总界面,在该界面可以查看ATT&CK下包含的所有的活动信息,一共有24个,以列表的形式列出。在该界面可以查看每一个活动的编号(以C开头)、名称、基本信息描述等。
攻击活动这一组件是在2022年10月的v11版本引入的,指代在某一个特定时期内完成的一系列具有共同目标的攻击活动,如2015年发生的乌克兰电力攻击活动。
某一具体活动攻击由以下部分组成:基本描述、元数据、关联技术、关联组织、Navigator信息、参考来源,如下图。
元数据:该活动的开始和结束日期、版本、创建和修改日期等。技术使用:该活动在攻击过程中使用的各种技术关联软件:该活动中使用的各种软件Navigator信息:将该活动关联的技术在矩阵中标注
下面介绍活动的作用:为了更加深入的理解ATT&CK的各种技术,给出了实际活动中的技术使用情况。如下图,在技术介绍界面,引入了在野使用一栏,以表述哪些攻击活动使用了该技术。
各战术宏观介绍
ATT&CK的内容很多,但是其核心内容一定是战术与技术,因为篇幅有限,下面会从宏观角度对这些战术和技术进行介绍。在之后的文章中,会有专门一个系列
ATT&CK威胁框架-战术、技术详解,该系列会详细介绍最新版本(v14)下的各个战术、技术、子技术信息。
战术梳理
战术梳理:截止到2024-3,v14版本、Enterprise领域下的战术整合如下
| 战术编号 | 战术名称(英) | 战术名称(译) | 技术数量(不含子技术) |
|---|---|---|---|
| TA0043 | Reconnaissance | 侦察 | 10 |
| TA0042 | Resource Development | 资源开发 | 8 |
| TA0001 | Initial Access | 初始访问 | 10 |
| TA0002 | Execution | 攻击执行 | 14 |
| TA0003 | Persistence | 持久化 | 20 |
| TA0004 | Privilege Escalation | 权限提升 | 14 |
| TA0005 | Defense Evasion | 防御规避 | 43 |
| TA0006 | Credential Access | 凭证访问 | 17 |
| TA0007 | Discovery | 环境发现 | 32 |
| TA0008 | Lateral Movement | 横向移动 | 9 |
| TA0009 | Collection | 信息收集 | 17 |
| TA0011 | Command and Control | 指令与控制 | 17 |
| TA0010 | Exfiltration | 数据窃取 | 9 |
| TA0040 | Impact | 危害影响 | 14 |
下面具体介绍这些战术的相关信息,不会很详细,旨在从宏观上了解、构建一个简略的攻击模型,为后续深入学习做铺垫。
战术:侦察
名称:
Reconnaissance译:
侦察/信息搜集ATT&CK编号:
TA0043技术数量:
10子技术数量:
34版本:
v14战术关键词:`攻击前阶段
具体介绍:
不论是APT组织进行攻击,还是红队进行安全演练、渗透测试,都会在正式攻击之前收集相关的有用信息,以规划后续具体行动。这些信息可能包括受害组织、设备、受害人的基本信息,例如组织网络架构、员工身份信息等;采取的技术措施也很多,如钓鱼攻击、公开数据库搜索(如WHOIS、CDNs等)、公开网站搜索(如搜索引擎、社交媒体等)等等。
需要注意的是,侦察这个攻击前战术是很难缓解和防御的,因为相关的技术与正常行为很类似,而且也超出了企业的防御和控制范围。为了保证框架结构的完整性,ATT&CK专门创建了一个名为Pre-compromise的缓解措施,如下:
方法:
Pre-compromise编号:
M1056可缓解技术:攻击者获得初始访问权限之前发生的技术,如侦
察和资源开发阶段
问:既然相关技术的缓解与检测方法很少,为什么还要介绍这些技术呢?
答:因为通过学习侦察战术下的相关技术,可以更加清晰的知晓攻击者需要搜集哪些信息、通过哪些途径搜集,进而可以帮助企业自检,减少暴露面。
注:关于该战术的具体情况和各个技术的实现原理、缓解措施、实践等由于篇幅原因不在此处赘述,可以参见后续系列ATT&CK威胁框架各战术、技术详解一-侦察战术
战术:资源开发
名称:
Resource Development译:
资源开发\武器库配置ATT&CK编号:
TA0042技术数量:
8子技术数量:
37版本:
v14战术关键词:
攻击前阶段
具体介绍:
资源开发是指攻击者在开展具体攻击前会开发一些后续使用的相关资源,开发方式包括创建、购买、窃取等,开发的资源具体包括基础设施(域、DNS服务器、Web服务、VPS等)、账户(社交媒体、电子邮件、云账户等)、能力(恶意软件、数字证书、exp等)。
攻击者在开发完相应资源后,会在后续攻击阶段使用,如在初始访问阶段(TA0001)中利用有效账户(T1078),在防御隐藏阶段(TA0005)利用数字签名等。
与侦察战术类似,资源开发战术也很难缓解和检测,在具体技术描述中,一般会引入Pre-compromise缓解措施,如下:
方法:
Pre-compromise编号:
M1056可缓解技术:攻击者获得初始访问权限之前发生的技术,如
侦察和资源开发阶段
注:关于该战术的具体情况和各个技术的实现原理、缓解措施、实践等由于篇幅原因不在此处赘述,可以参见后续系列ATT&CK威胁框架各战术、技术详解二-资源开发战术
战术:初始访问
名称:
Initial Access译:
初始访问ATT&CK编号:
TA0001技术数量:
10子技术数量:
11版本:
v14战术关键词:
攻击阶段的第一个战术
具体介绍:
之前两个战术(侦察与资源开发)属于攻击前阶段,用于为后续攻击提供信息和资源;而攻击阶段便会介绍具体攻击时涉及的战术和使用的技术。攻击阶段的第一个战术是初始访问。
初始访问是指攻击者在目标网络环境中建立立足点,攻击者会借助攻击前阶段收集的信息,利用不同的技术来实现初始访问。常用的攻击技术报价鱼叉式钓鱼T1566或者针对Web服务漏洞T1190等。
与侦察和资源开发战术不同,初始访问涵盖的技术是典型的攻击行为,所以有很多对应的缓解措施和检测方法。比如,针对水坑攻击,可以采取软件更新(M1051)、应用沙盒隔离(M1048)等方法来缓解,采取网络流量监测(DS0029)、应用日志审计(DS0015)等方法来检测。
注:关于该战术的具体情况和各个技术的实现原理、缓解措施、实践等由于篇幅原因不在此处赘述,可以参见后续系列ATT&CK威胁框架各战术、技术详解三-初始访问战术
战术:攻击执行
名称:
Execution译:
攻击执行ATT&CK编号:
TA0002技术数量:
14子技术数量:
22版本:
v14战术关键词:
应用范围最广泛的战术
具体介绍:
攻击执行战术是指攻击者尝试运行恶意代码,包括在本地或者远程执行恶意代码的技术。这些技术大体可以分为实体恶意软件执行和无落地文件执行(如命令行、powershell等)。
该战术中的技术通常与其他战术联动实现更加广泛的目标(信息窃取、环境探测等),例如通过初始访问战术中的利用远程外部服务T1133来执行Powershell脚本T1059.001。
攻击执行战术中采取的技术有很多对应的缓解措施和检测方法。例如,针对利用命令和脚本解释器T1059技术,可以采取安装防病毒软件M1049、检测签名(M1045)、禁用或删除某些功能T1042等方法缓解和预防,可以采取监视执行的命令和参数DS0017、监视有关正在运行进程的上下文数据DS0009等方法检测攻击行为。
注:关于该战术的具体情况和各个技术的实现原理、缓解措施、实践等由于篇幅原因不在此处赘述,可以参见后续系列ATT&CK威胁框架各战术、技术详解四-攻击执行战术
战术:持久化
名称:
Persistence译:
持久化ATT&CK编号:
TA0003技术数量:
20子技术数量:
95版本:
v14战术关键词:
防守方最应该重视的战术
具体介绍:
初始访问战术在目标网络环境中建立了立足点,持久化战术便是为了长久保持这些立足点,即受害者即使重启、修改凭证仍然可以保证攻击者对系统的持续访问。
常用的技术包括利用计划任务T1542、修改身份认证T1556、劫持进程T1574(DLL劫持、利用环境变量等)、创建或修改系统进程T1543(利用系统服务、守护进程等)等等。
持久化战术是所有战术中子技术第二多的战术,也就是说可以完成持久化操作的方法非常多,所以持久化应该是最应该被重视的战术。
针对持久化操作的相关技术,ATT&CK提供了很多缓解措施和检测方法,因为篇幅限制,很难一一介绍,在后续持久化战术专栏会详细说明,细化到每一个子技术。
注:关于该战术的具体情况和各个技术的实现原理、缓解措施、实践等由于篇幅原因不在此处赘述,可以参见后续系列ATT&CK威胁框架各战术、技术详解五-持久化战术
战术:提权
名称:
Privilege Escalation译:
提权/权限提升ATT&CK编号:
TA0004技术数量:
14子技术数量:
80版本:
v14战术关键词:
攻击者最喜爱的战术之一
具体介绍:
该战术是指攻击者正试图获取更高权限。
权限提升战术是指攻击者用来在系统或网络中获得更高权限的一系列技术。对手通常能够以非特权身份进入并探索网络,但为了实现其目标,他们需要获得更高的权限。常见的技术包括:利用漏洞提权T1068、容器逃逸T1611、进程注入T1055、操纵访问令牌T1134等。
相关权限包括:
- 系统级(SYSTEM)或根级(root)权限
- 本地管理员权限
- 拥有类似管理员权限的用户账户
- 具有访问特定系统或执行特定功能权限的用户账户
这些权限提升技术往往与持久化技术相互重叠,因为操作系统中的某些能让对手保持持久存在的功能可以以提权的方式执行。
注:关于该战术的具体情况和各个技术的实现原理、缓解措施、实践等由于篇幅原因不在此处赘述,可以参见后续系列ATT&CK威胁框架各战术、技术详解六-提权战术
战术:防御规避
名称:
Privilege Escalation译:
防御规避ATT&CK编号:
TA0005技术数量:
42子技术数量:
148版本:
v14战术关键词:
技术和子技术最多的战术
基本介绍:
该战术是指攻击者正试图避免被检测到。
防御规避战术包含了对手在入侵过程中所采用的各类逃避检测技术。这些技术包括卸载/禁用安全软件,或者对数据和脚本进行混淆/加密处理。此外,对手还会利用受信任的进程来隐藏和伪装其恶意软件。当其他战术中的技术同时具有绕过防御机制的附加优势时,也会在此处交叉列出。
注:关于该战术的具体情况和各个技术的实现原理、缓解措施、实践等由于篇幅原因不在此处赘述,可以参见后续系列ATT&CK威胁框架各战术、技术详解七-防御规避战术。
战术:凭证访问
名称:
Credential Access译:
凭证访问ATT&CK编号:
TA0006技术数量:
17子技术数量:
47版本:
v14战术关键词:
信息窃取中攻击者最想要的
基本介绍:
该战术是指攻击者正试图窃取账号、密码等凭证信息。
该战术包括一系列用于窃取如账号名和密码等凭证的技术。获取凭证的方法包括键盘记录(keylogging)或凭证转储(credential dumping)。通过合法的凭证,对手可以获得对系统的访问权限,并有机会创建更多账户来帮助实现他们的目标。
注:关于该战术的具体情况和各个技术的实现原理、缓解措施、实践等由于篇幅原因不在此处赘述,可以参见后续系列ATT&CK威胁框架各战术、技术详解八-凭证访问战术。
战术:环境发现
名称:
Discovery译:
(环境)发现ATT&CK编号:
TA0007技术数量:
32子技术数量:
14版本:
v14战术关键词:
攻击阶段的侦察战术
基本介绍:
该战术是指攻击者正试图了解目标系统的网络环境。
攻击者可能采取各种技术以获取有关系统和内部网络的知识。这些技术帮助攻击者在进行后续攻击之前对环境进行观察和自我定位。
攻击者可能侦察的目标有浏览器书签T1217、云服务相关信息、注册表信息T1012、进程信息T1057、软件信息T1518、地理位置信息T1614、系统网络配置信息T1016、系统服务信息T1007、系统时间信息T1124等等。
注:关于该战术的具体情况和各个技术的实现原理、缓解措施、实践等由于篇幅原因不在此处赘述,可以参见后续系列ATT&CK威胁框架各战术、技术详解九-环境发现战术。
战术:横向移动
名称:
Lateral Movement译:
横向移动ATT&CK编号:
TA0008技术数量:
9子技术数量:
14版本:
v14战术关键词:
关键目标寻找与扩散
基本介绍:
该战术是指对手试图在目标网络环境中移动渗透。
横向移动是指对手在网络中使用各种技术以进入并控制远程系统。为了实现主要目标,对手通常需要探索网络找到目标,并随后获取对目标的访问权限。达成目标的过程中,往往涉及通过多个系统和账户进行跳跃式渗透。
在横向移动的过程中,攻击者可能会利用远程服务漏洞T1210、使用内部钓鱼攻击T1534、劫持远程服务会话T1563等技术。
注:关于该战术的具体情况和各个技术的实现原理、缓解措施、实践等由于篇幅原因不在此处赘述,可以参见后续系列ATT&CK威胁框架各战术、技术详解十-横向移动战术。
战术:信息收集
名称:
Collection译:
信息搜集ATT&CK编号:
TA0009技术数量:
17子技术数量:
20版本:
v14战术关键词:
系统内部的信息搜集
基本介绍:
该战术是指攻击者正试图收集与其目标相关的、感兴趣的数据。
信息收集战术包括对手可能会采用的各种技术,以便从与目标相关的各种数据源中获取信息。通常情况下,在收集到数据之后的下一步便是窃取(外泄)这些数据,参见战术数据窃取TA0010。常见的数据来源包括各类驱动器、浏览器、音频、视频和电子邮件等。常用的数据收集方法包括截屏和键盘输入记录。
注:关于该战术的具体情况和各个技术的实现原理、缓解措施、实践等由于篇幅原因不在此处赘述,可以参见后续系列ATT&CK威胁框架各战术、技术详解十一-信息搜集战术。
战术:命令与控制
名称:
Command and Control译:
命令与控制ATT&CK编号:
TA0011技术数量:
17子技术数量:
23版本:
v14战术关键词:
远控与命令执行
基本介绍:
该战术是指对手正试图与受控系统进行通信以操控它们。
命令与控制战术包括对手可能会使用的各种技术,以便在受害者的网络内部与其控制下的系统进行通信。为了规避检测,对手通常会尝试模仿正常、预期的网络流量。根据受害者网络结构和防御机制的不同,攻击者有多种方式可以建立具有不同程度隐匿性的命令与控制通道。
该战术常见的技术包括使用应用层协议T1071、通过可移动介质通信T1092、使用备用信道T1008、利用远程访问软件T1219等,在通信过程中也会编码数据T1132、混淆数据T1001、使用动态参数T1568、使用加密信道T1573以保证通信的隐蔽性。
注:关于该战术的具体情况和各个技术的实现原理、缓解措施、实践等由于篇幅原因不在此处赘述,可以参见后续系列ATT&CK威胁框架各战术、技术详解十二-命令与控制战术。
战术:数据窃取
名称:
Exfiltration译:
(数据)窃取ATT&CK编号:
TA0010技术数量:
9子技术数量:
10版本:
v14战术关键词:
数据收集与回传
基本介绍:
该战术是指攻击者在试图窃取数据。一旦收集到数据,对手通常会对其进行打包处理以避免在传递过程中被检测到,这可能涉及压缩和加密等操作。将数据从目标网络中取出的常用技术包括使用C2信道回传T1041、使用物理介质回传T1052、使用Web服务回传T1567、使用云账户T1537等,可能会限制传递的数据大小。
注:关于该战术的具体情况和各个技术的实现原理、缓解措施、实践等由于篇幅原因不在此处赘述,可以参见后续系列ATT&CK威胁框架各战术、技术详解十三-数据窃取战术。
战术:危害影响
名称:
Impact译:
危害影响ATT&CK编号:
TA0040技术数量:
14子技术数量:
13版本:
v14战术关键词:
框架的最后一个战术
基本介绍:
危害影响战术是指攻击者试图操控、中断或破坏目标的系统和数据。
该战术包含一系列技术,这些技术被攻击者利用以通过操纵业务和运营流程来干扰系统的可用性或破坏信息的完整性。实现该战术的技术包括删除账户权限T1531、破坏数据T1485、数据加密T1486、操纵数据T1565、篡改内容T1491、擦除磁盘T1561、损坏固件T1495等。具体详见后续系列。
在某些情况下,虽然业务流程表面上看似正常运行,但实际上可能已被对手为了达成自身目标而进行了篡改。
总结与预告
本文总结
本篇文章从框架基本信息、框架组件构成、框架战术简述三个方面介绍了ATT&CK框架的基本知识,由于篇幅限制,很多细致具体的内容就放到后续系列了。
笔者个人认为本篇文章的内容是足够完善的,读者通过这篇文章应该可以对ATT&CK框架有一个大体的把握,也能更容易的结合自身研究方向去探索ATT&CK的应用。
后续该系列架构
本文是ATT&CK系列的第一篇文章,主要介绍该框架的一些基础内容,为刚了解该框架的朋友解决一些困惑。因为篇幅有限,不可能涵盖所有内容,所以后续会继续更新该系列,感兴趣的朋友可以收藏下,以备后续食用。
下面说下目前定下的该系列框架,主要分为三类:知识理解类、工具使用类、应用实践类。
知识理解类:该类别会系统整理ATT&CK框架中的所有战术、技术、子技术,以十四个战术为主干,向外延申各个技术的原理、使用方法、缓解措施、检测方法等。
工具使用类:ATT&CK框架不仅是一个知识库,还包括很多开源的工具和项目,比如用于可视化操作的Navigator工具、用于威胁检测分析的CAR项目等,该类别便会具体介绍这些工具和项目的使用。
应用实践类:ATT&CK框架的应用场景有很多,比如前面提到的威胁情报、攻击模拟、检测分析等,该类别便会介绍如果将ATT&CK框架应用到具体的安全实践中。因为笔者的研究方向和兴趣爱好,这部分内容会更多偏向于威胁检测和恶意代码分析。
点击收藏 | 6
关注 | 5
打赏
