免费试用
最新研究
基于 ATT&CK 框架的红蓝对抗 有效提升检测能力
基于 ATT&CK 框架的红蓝对抗 有效提升检测能力
立即下载

ATT&CK

立足攻防最前线,探索ATT&CK理论与实践

ATT&CK概述

由MITRE发起的对抗战术和技术知识库——ATT&CK始于2015年,其目标是提供一个“基于现实世界观察的、全球可访问的对抗战术和技术知识库”。ATT&CK一经面世,便迅速风靡信息安全行业。全球各地的许多安全厂商和信息安全团队都迅速采用了ATT&CK框架。在他们看来,ATT&CK框架是近年来信息安全领域最有用也是最急需的一个框架。MITRE ATT&CK提供了一个复杂框架,介绍了攻击者在攻击过程中使用的14项战术、190多项技术、380多项子技术。

侦察
10项技术
资源开发
7项技术
初始访问
9项技术
执行
12项技术
持久化
19项技术
权限提升
13项技术
防御绕过
42项技术
凭据访问
16项技术
发现
30项技术
横向移动
9项技术
收集
17项技术
命令与控制
16项技术
数据窃取
9项技术
危害
13项技术
主动扫描 获取基础设施 网站挂马攻击 命令与脚本解析器 篡改账户 滥用权限提升控制机制 滥用权限提升控制机制 中间人攻击 账户发现 利用远程服务漏洞 中间人攻击 应用层协议 自动窃取 删除帐户访问权限
收集受害者主机信息 入侵账户 利用互联网上应用程序的漏洞 容器管理命令 BITS任务 篡改访问令牌 篡改访问令牌 暴力破解 应用窗口发现 内部网络钓鱼 压缩收集的数据 通过移动存储介质通信 限制数据传输大小 数据销毁
收集受害者身份信息 入侵基础设施 外部远程服务 容器部署 启动或登录自动启动执行 启动或登录自动启动执行 BITS任务 从密码库中获取凭据 浏览器书签发现 利用工具横向传输 音频捕获 数据编码 通过备用协议窃取 通过数据加密实现影响与破坏
收集受害者网络信息 开发功能 硬件接入 利用客户端漏洞获取执行权限 启动或登录初始化脚本 启动或登录初始化脚本 在主机上构建镜像 利用漏洞获取凭证访问的权限 云基础设施发现 远程服务会话劫持 自动收集 数据混淆 通过C2通道窃取 篡改数据
收集受害者组织信息 创建账户 网络钓鱼攻击 进程间通信 浏览器扩展 创建或修改系统进程 绕过排错程序 强制身份验证 云服务看板 远程服务 浏览器会话劫持 动态域名解析 使用其他网络介质窃取 损坏数据
通过网络钓鱼收集信息 获取功能 通过可移动介质进行赋值 通过本机API执行 入侵客户软件二进制包 域策略修改 反混淆/解码文件或信息 伪造Web凭据 云服务发现 通过可移动介质进行复制 剪贴板数据 加密频道 使用物理介质窃取 磁盘内容擦除
搜索封闭源 发起攻击 供应链攻击 计划任务/作业 创建账户 逃逸到主机 容器部署 输入捕获 容器存储对象发现 软件部署工具 云存储对象中的数据 备用通信信道 通过Web服务窃取 端点拒绝服务
搜索开放的技术数据库 可信关系 共享模块 创建或修改系统进程 事件触发执行 直接访问逻辑卷 修改身份验证流程 容器和资源发现 污染共享内容 配置存储库中的数据 入口工具转移 定期转移 固件破坏
搜索公开网站/域 有效凭证 软件部署工具 事件触发执行 利用漏洞进行权限升级 域策略修改 多因素身份认证拦截 绕过排错程序 使用备用身份验证材料 信息存储库中的数据 多阶段通信信道 将数据传输到云账户 禁用系统恢复
搜索受害者拥有的网站 系统服务 外部远程服务 劫持执行流 执行护栏 多因素身份认证请求 域信任发现 本地系统中的数据 非应用层协议 网络拒绝服务
用户执行 劫持执行流 计划任务/作业 通过漏洞利用进行防御绕过 网络嗅探 文件与目录发现 网络共享驱动器中的数据 非标准端口 资源劫持
Windows 管理规范(WMI) 注入容器镜像 有效凭证 修改文件与目录权限 操作系统凭据转储 组策略发现 可移动介质中的数据 隧道协议 系统关机/重启
修改认证进程 隐藏工件 窃取应用访问令牌 网络服务扫描 数据暂存 代理
Office应用程序启动 劫持执行流 窃取或伪造Kerberos票据 网络共享发现 收集电子邮件 远程访问软件
预操作系统启动 破坏防御 窃取Web会话Cookie 网络嗅探 输入捕获 流量信令
计划任务/作业 删除受害者主机上的指示器 不安全凭证 密码策略发现 屏幕捕获 Web服务
服务器软件组件 间接命令执行 外围设备发现 视频捕获
流量信令 伪装 权限组发现
有效凭证 修改身份验证流程 进程发现
修改云计算基础设施 查询注册表
修改镜像仓库 远程系统发现
修改系统镜像 软件发现
网络边界桥接 系统信息发现
混淆的文件或信息 系统位置发现
属性列表文件修改 系统网络配置发现
预操作系统启动 系统网络连接发现
进程注入 系统所有者/用户发现
反射代码加载 系统服务发现
恶意域控制器 系统时间发现
Rootkit 绕过虚拟机/沙箱
篡改可信控件
系统二进制文件代理执行
系统脚本代理执行
模板注入
流量信令
利用可信开发工具代理执行
未使用/不支持的云区域
使用备用身份验证材料
有效凭证
绕过虚拟机/沙箱
削弱加密
XSL脚本处理
点击查看ATT&CK战术详解

干货分享

青藤云安全
未找到资源 非常抱歉,没有找到您期望的内容。 您可以扫描下方二维码,与青藤安全专家在线沟通,获取更多专业内容与服务。 青藤安全专家二维码

实践应用

ATT&CK框架在很多防御场景中都很有价值。ATT&CK不仅为网络防守方提供了通用技术库,还为渗透测试和红队提供了基础信息。就对抗行为而言,ATT&CK还为防守方和红队成员提供了通用语言;企业组织可以通过差距分析、优先排序和缓解措施来改善安全态势。总结起来,ATT&CK最典型的四个应用场景是威胁情报、检测分析、模拟攻击、评估改进。

  • 威胁情报
    ATT&CK从行为分析角度记录、分析攻击组织信息。通过分析,防守方可以更好地理解不同攻击组织的通用行为,更有效地将这些攻击行为与自身的防御体系映射起来,从而提高威胁报告的价值。
    点击查看详情
  • 检测分析
    除了使用传统的失陷指标(IOCs)或恶意活动特征来检测,行为检测分析可以在不了解攻击工具或攻击指标的情况下检测系统或网络中的潜在恶意活动。ATT&CK可用作构建和测试行为分析的工具,用来检测环境中的入侵行为。
    点击查看详情
  • 模拟攻击
    模拟攻击针对特定攻击者的网络安全情报,模拟攻击者的攻击方式,以此来评估某一技术领域的安全性。ATT&CK可以用作创建攻击者模拟场景的一项工具,以此来测试和验证防守方是否能够对常见的攻击者技术进行有效防御。
    点击查看详情
  • 评估改进
    防御差距评估,可以让组织机构确定其网络中哪些部分缺乏防护或可见性。ATT&CK可以作为常见行为的攻击模型,可以用于评估组织机构的防御措施,验证其工具、监控和缓解措施是否有效。
    点击查看详情

专家讲堂

青藤经过多年的研究与实践探索,打造了一套系统化的ATT&CK培训课程,涉及理论学习、场景演练、应用实战等内容。

  • 理论篇:概念介绍及架构详解
  • 应用篇:框架研究与应用
  • 实战篇:四大使用场景与实战案例
  • 更多ATT&CK培训视频
观看视频

实践成果

全球首部系统化研究ATT&CK的专著

《ATT&CK框架实践指南》对备受信息安全行业青睐的ATT&CK框架进行了详细的介绍,并通过丰富的实践案例帮助读者了解ATT&CK框架,更好地将ATT&CK框架用于提高企业的安全防御能力。

  • 期待本书能起到抛砖引玉的作用,在全球ATT&CK中贡献中国智慧,更重要的是善于运用ATT&CK的方法来提升我国网络安全防御能力。
    ——邬贺铨 中国工程院院士
  • MITRE ATT&CK毫无疑问是近几年安全领域最热门的话题之一。经过多年研究、学习和探索,青藤积累了相对比较成熟和系统化的研究资料,编制此书,旨在让更多网络安全从业者了解ATT&CK,学习先进的理论体系,提升防守方的技术水平,加强攻防对抗能力。
    ——张福 青藤CEO
点击在线咨询,了解免费申请资格

ATT&CK卡牌游戏

青藤一直走在ATT&CK框架研究最前沿,除了出版《ATT&CK框架实践指南》,我们还开发了一款基于ATT&CK的卡牌游戏,可用于教学演示和日常学习,让ATT&CK学员在轻松愉快的游戏氛围中加强对ATT&CK框架的理解。

ATT&CK卡牌游戏虚拟了一个地貌隐秘、充满黑科技的异世界——赛博星球,故事以宏大的背景展开。狂野世界,全新战场,你能否代表该种族拯救危在旦夕的星球?

点击在线咨询,了解免费申请资格

预测、防御、检测、响应,让安全一触即达

免费试用

7*24小时安全监控

5*8小时故障诊断

安装升级服务

产品使用培训