由MITRE发起的对抗战术和技术知识库——ATT&CK始于2015年,其目标是提供一个“基于现实世界观察的、全球可访问的对抗战术和技术知识库”。ATT&CK一经面世,便迅速风靡信息安全行业。全球各地的许多安全厂商和信息安全团队都迅速采用了ATT&CK框架。在他们看来,ATT&CK框架是近年来信息安全领域最有用也是最急需的一个框架。MITRE ATT&CK提供了一个复杂框架,介绍了攻击者在攻击过程中使用的14项战术、190多项技术、380多项子技术。
侦察
10项技术
|
资源开发
7项技术
|
初始访问
9项技术
|
执行
12项技术
|
持久化
19项技术
|
权限提升
13项技术
|
防御绕过
42项技术
|
凭据访问
16项技术
|
发现
30项技术
|
横向移动
9项技术
|
收集
17项技术
|
命令与控制
16项技术
|
数据窃取
9项技术
|
危害
13项技术
|
主动扫描 | 获取基础设施 | 网站挂马攻击 | 命令与脚本解析器 | 篡改账户 | 滥用权限提升控制机制 | 滥用权限提升控制机制 | 中间人攻击 | 账户发现 | 利用远程服务漏洞 | 中间人攻击 | 应用层协议 | 自动窃取 | 删除帐户访问权限 |
收集受害者主机信息 | 入侵账户 | 利用互联网上应用程序的漏洞 | 容器管理命令 | BITS任务 | 篡改访问令牌 | 篡改访问令牌 | 暴力破解 | 应用窗口发现 | 内部网络钓鱼 | 压缩收集的数据 | 通过移动存储介质通信 | 限制数据传输大小 | 数据销毁 |
收集受害者身份信息 | 入侵基础设施 | 外部远程服务 | 容器部署 | 启动或登录自动启动执行 | 启动或登录自动启动执行 | BITS任务 | 从密码库中获取凭据 | 浏览器书签发现 | 利用工具横向传输 | 音频捕获 | 数据编码 | 通过备用协议窃取 | 通过数据加密实现影响与破坏 |
收集受害者网络信息 | 开发功能 | 硬件接入 | 利用客户端漏洞获取执行权限 | 启动或登录初始化脚本 | 启动或登录初始化脚本 | 在主机上构建镜像 | 利用漏洞获取凭证访问的权限 | 云基础设施发现 | 远程服务会话劫持 | 自动收集 | 数据混淆 | 通过C2通道窃取 | 篡改数据 |
收集受害者组织信息 | 创建账户 | 网络钓鱼攻击 | 进程间通信 | 浏览器扩展 | 创建或修改系统进程 | 绕过排错程序 | 强制身份验证 | 云服务看板 | 远程服务 | 浏览器会话劫持 | 动态域名解析 | 使用其他网络介质窃取 | 损坏数据 |
通过网络钓鱼收集信息 | 获取功能 | 通过可移动介质进行赋值 | 通过本机API执行 | 入侵客户软件二进制包 | 域策略修改 | 反混淆/解码文件或信息 | 伪造Web凭据 | 云服务发现 | 通过可移动介质进行复制 | 剪贴板数据 | 加密频道 | 使用物理介质窃取 | 磁盘内容擦除 |
搜索封闭源 | 发起攻击 | 供应链攻击 | 计划任务/作业 | 创建账户 | 逃逸到主机 | 容器部署 | 输入捕获 | 容器存储对象发现 | 软件部署工具 | 云存储对象中的数据 | 备用通信信道 | 通过Web服务窃取 | 端点拒绝服务 |
搜索开放的技术数据库 | 可信关系 | 共享模块 | 创建或修改系统进程 | 事件触发执行 | 直接访问逻辑卷 | 修改身份验证流程 | 容器和资源发现 | 污染共享内容 | 配置存储库中的数据 | 入口工具转移 | 定期转移 | 固件破坏 | |
搜索公开网站/域 | 有效凭证 | 软件部署工具 | 事件触发执行 | 利用漏洞进行权限升级 | 域策略修改 | 多因素身份认证拦截 | 绕过排错程序 | 使用备用身份验证材料 | 信息存储库中的数据 | 多阶段通信信道 | 将数据传输到云账户 | 禁用系统恢复 | |
搜索受害者拥有的网站 | 系统服务 | 外部远程服务 | 劫持执行流 | 执行护栏 | 多因素身份认证请求 | 域信任发现 | 本地系统中的数据 | 非应用层协议 | 网络拒绝服务 | ||||
用户执行 | 劫持执行流 | 计划任务/作业 | 通过漏洞利用进行防御绕过 | 网络嗅探 | 文件与目录发现 | 网络共享驱动器中的数据 | 非标准端口 | 资源劫持 | |||||
Windows 管理规范(WMI) | 注入容器镜像 | 有效凭证 | 修改文件与目录权限 | 操作系统凭据转储 | 组策略发现 | 可移动介质中的数据 | 隧道协议 | 系统关机/重启 | |||||
修改认证进程 | 隐藏工件 | 窃取应用访问令牌 | 网络服务扫描 | 数据暂存 | 代理 | ||||||||
Office应用程序启动 | 劫持执行流 | 窃取或伪造Kerberos票据 | 网络共享发现 | 收集电子邮件 | 远程访问软件 | ||||||||
预操作系统启动 | 破坏防御 | 窃取Web会话Cookie | 网络嗅探 | 输入捕获 | 流量信令 | ||||||||
计划任务/作业 | 删除受害者主机上的指示器 | 不安全凭证 | 密码策略发现 | 屏幕捕获 | Web服务 | ||||||||
服务器软件组件 | 间接命令执行 | 外围设备发现 | 视频捕获 | ||||||||||
流量信令 | 伪装 | 权限组发现 | |||||||||||
有效凭证 | 修改身份验证流程 | 进程发现 | |||||||||||
修改云计算基础设施 | 查询注册表 | ||||||||||||
修改镜像仓库 | 远程系统发现 | ||||||||||||
修改系统镜像 | 软件发现 | ||||||||||||
网络边界桥接 | 系统信息发现 | ||||||||||||
混淆的文件或信息 | 系统位置发现 | ||||||||||||
属性列表文件修改 | 系统网络配置发现 | ||||||||||||
预操作系统启动 | 系统网络连接发现 | ||||||||||||
进程注入 | 系统所有者/用户发现 | ||||||||||||
反射代码加载 | 系统服务发现 | ||||||||||||
恶意域控制器 | 系统时间发现 | ||||||||||||
Rootkit | 绕过虚拟机/沙箱 | ||||||||||||
篡改可信控件 | |||||||||||||
系统二进制文件代理执行 | |||||||||||||
系统脚本代理执行 | |||||||||||||
模板注入 | |||||||||||||
流量信令 | |||||||||||||
利用可信开发工具代理执行 | |||||||||||||
未使用/不支持的云区域 | |||||||||||||
使用备用身份验证材料 | |||||||||||||
有效凭证 | |||||||||||||
绕过虚拟机/沙箱 | |||||||||||||
削弱加密 | |||||||||||||
XSL脚本处理 |
ATT&CK框架在很多防御场景中都很有价值。ATT&CK不仅为网络防守方提供了通用技术库,还为渗透测试和红队提供了基础信息。就对抗行为而言,ATT&CK还为防守方和红队成员提供了通用语言;企业组织可以通过差距分析、优先排序和缓解措施来改善安全态势。总结起来,ATT&CK最典型的四个应用场景是威胁情报、检测分析、模拟攻击、评估改进。
《ATT&CK框架实践指南》对备受信息安全行业青睐的ATT&CK框架进行了详细的介绍,并通过丰富的实践案例帮助读者了解ATT&CK框架,更好地将ATT&CK框架用于提高企业的安全防御能力。
青藤一直走在ATT&CK框架研究最前沿,除了出版《ATT&CK框架实践指南》,我们还开发了一款基于ATT&CK的卡牌游戏,可用于教学演示和日常学习,让ATT&CK学员在轻松愉快的游戏氛围中加强对ATT&CK框架的理解。
ATT&CK卡牌游戏虚拟了一个地貌隐秘、充满黑科技的异世界——赛博星球,故事以宏大的背景展开。狂野世界,全新战场,你能否代表该种族拯救危在旦夕的星球?
点击在线咨询,了解免费申请资格7*24小时安全监控
5*8小时故障诊断
安装升级服务
产品使用培训
售前咨询热线:
400-800-0789
扫码下载网安报告