ATT&CK概述
由MITRE发起的对抗战术和技术知识库——ATT&CK始于2015年,其目标是提供一个“基于现实世界观察的、全球可访问的对抗战术和技术知识库”。ATT&CK一经面世,便迅速风靡信息安全行业。全球各地的许多安全厂商和信息安全团队都迅速采用了ATT&CK框架。在他们看来,ATT&CK框架是近年来信息安全领域最有用也是最急需的一个框架。MITRE ATT&CK提供了一个复杂框架,介绍了攻击者在攻击过程中使用的14项战术、190多项技术、380多项子技术。
|
侦察
10项技术
|
资源开发
7项技术
|
初始访问
9项技术
|
执行
12项技术
|
持久化
19项技术
|
权限提升
13项技术
|
防御绕过
42项技术
|
凭据访问
16项技术
|
发现
30项技术
|
横向移动
9项技术
|
收集
17项技术
|
命令与控制
16项技术
|
数据窃取
9项技术
|
危害
13项技术
|
| 主动扫描 |
获取基础设施 |
网站挂马攻击 |
命令与脚本解析器 |
篡改账户 |
滥用权限提升控制机制 |
滥用权限提升控制机制 |
中间人攻击 |
账户发现 |
利用远程服务漏洞 |
中间人攻击 |
应用层协议 |
自动窃取 |
删除帐户访问权限 |
| 收集受害者主机信息 |
入侵账户 |
利用互联网上应用程序的漏洞 |
容器管理命令 |
BITS任务 |
篡改访问令牌 |
篡改访问令牌 |
暴力破解 |
应用窗口发现 |
内部网络钓鱼 |
压缩收集的数据 |
通过移动存储介质通信 |
限制数据传输大小 |
数据销毁 |
| 收集受害者身份信息 |
入侵基础设施 |
外部远程服务 |
容器部署 |
启动或登录自动启动执行 |
启动或登录自动启动执行 |
BITS任务 |
从密码库中获取凭据 |
浏览器书签发现 |
利用工具横向传输 |
音频捕获 |
数据编码 |
通过备用协议窃取 |
通过数据加密实现影响与破坏 |
| 收集受害者网络信息 |
开发功能 |
硬件接入 |
利用客户端漏洞获取执行权限 |
启动或登录初始化脚本 |
启动或登录初始化脚本 |
在主机上构建镜像 |
利用漏洞获取凭证访问的权限 |
云基础设施发现 |
远程服务会话劫持 |
自动收集 |
数据混淆 |
通过C2通道窃取 |
篡改数据 |
| 收集受害者组织信息 |
创建账户 |
网络钓鱼攻击 |
进程间通信 |
浏览器扩展 |
创建或修改系统进程 |
绕过排错程序 |
强制身份验证 |
云服务看板 |
远程服务 |
浏览器会话劫持 |
动态域名解析 |
使用其他网络介质窃取 |
损坏数据 |
| 通过网络钓鱼收集信息 |
获取功能 |
通过可移动介质进行赋值 |
通过本机API执行 |
入侵客户软件二进制包 |
域策略修改 |
反混淆/解码文件或信息 |
伪造Web凭据 |
云服务发现 |
通过可移动介质进行复制 |
剪贴板数据 |
加密频道 |
使用物理介质窃取 |
磁盘内容擦除 |
| 搜索封闭源 |
发起攻击 |
供应链攻击 |
计划任务/作业 |
创建账户 |
逃逸到主机 |
容器部署 |
输入捕获 |
容器存储对象发现 |
软件部署工具 |
云存储对象中的数据 |
备用通信信道 |
通过Web服务窃取 |
端点拒绝服务 |
| 搜索开放的技术数据库 |
|
可信关系 |
共享模块 |
创建或修改系统进程 |
事件触发执行 |
直接访问逻辑卷 |
修改身份验证流程 |
容器和资源发现 |
污染共享内容 |
配置存储库中的数据 |
入口工具转移 |
定期转移 |
固件破坏 |
| 搜索公开网站/域 |
|
有效凭证 |
软件部署工具 |
事件触发执行 |
利用漏洞进行权限升级 |
域策略修改 |
多因素身份认证拦截 |
绕过排错程序 |
使用备用身份验证材料 |
信息存储库中的数据 |
多阶段通信信道 |
将数据传输到云账户 |
禁用系统恢复 |
| 搜索受害者拥有的网站 |
|
|
系统服务 |
外部远程服务 |
劫持执行流 |
执行护栏 |
多因素身份认证请求 |
域信任发现 |
|
本地系统中的数据 |
非应用层协议 |
|
网络拒绝服务 |
|
|
|
用户执行 |
劫持执行流 |
计划任务/作业 |
通过漏洞利用进行防御绕过 |
网络嗅探 |
文件与目录发现 |
|
网络共享驱动器中的数据 |
非标准端口 |
|
资源劫持 |
|
|
|
Windows 管理规范(WMI) |
注入容器镜像 |
有效凭证 |
修改文件与目录权限 |
操作系统凭据转储 |
组策略发现 |
|
可移动介质中的数据 |
隧道协议 |
|
系统关机/重启 |
|
|
|
|
修改认证进程 |
|
隐藏工件 |
窃取应用访问令牌 |
网络服务扫描 |
|
数据暂存 |
代理 |
|
|
|
|
|
|
Office应用程序启动 |
|
劫持执行流 |
窃取或伪造Kerberos票据 |
网络共享发现 |
|
收集电子邮件 |
远程访问软件 |
|
|
|
|
|
|
预操作系统启动 |
|
破坏防御 |
窃取Web会话Cookie |
网络嗅探 |
|
输入捕获 |
流量信令 |
|
|
|
|
|
|
计划任务/作业 |
|
删除受害者主机上的指示器 |
不安全凭证 |
密码策略发现 |
|
屏幕捕获 |
Web服务 |
|
|
|
|
|
|
服务器软件组件 |
|
间接命令执行 |
|
外围设备发现 |
|
视频捕获 |
|
|
|
|
|
|
|
流量信令 |
|
伪装 |
|
权限组发现 |
|
|
|
|
|
|
|
|
|
有效凭证 |
|
修改身份验证流程 |
|
进程发现 |
|
|
|
|
|
|
|
|
|
|
|
修改云计算基础设施 |
|
查询注册表 |
|
|
|
|
|
|
|
|
|
|
|
修改镜像仓库 |
|
远程系统发现 |
|
|
|
|
|
|
|
|
|
|
|
修改系统镜像 |
|
软件发现 |
|
|
|
|
|
|
|
|
|
|
|
网络边界桥接 |
|
系统信息发现 |
|
|
|
|
|
|
|
|
|
|
|
混淆的文件或信息 |
|
系统位置发现 |
|
|
|
|
|
|
|
|
|
|
|
属性列表文件修改 |
|
系统网络配置发现 |
|
|
|
|
|
|
|
|
|
|
|
预操作系统启动 |
|
系统网络连接发现 |
|
|
|
|
|
|
|
|
|
|
|
进程注入 |
|
系统所有者/用户发现 |
|
|
|
|
|
|
|
|
|
|
|
反射代码加载 |
|
系统服务发现 |
|
|
|
|
|
|
|
|
|
|
|
恶意域控制器 |
|
系统时间发现 |
|
|
|
|
|
|
|
|
|
|
|
Rootkit |
|
绕过虚拟机/沙箱 |
|
|
|
|
|
|
|
|
|
|
|
篡改可信控件 |
|
|
|
|
|
|
|
|
|
|
|
|
|
系统二进制文件代理执行 |
|
|
|
|
|
|
|
|
|
|
|
|
|
系统脚本代理执行 |
|
|
|
|
|
|
|
|
|
|
|
|
|
模板注入 |
|
|
|
|
|
|
|
|
|
|
|
|
|
流量信令 |
|
|
|
|
|
|
|
|
|
|
|
|
|
利用可信开发工具代理执行 |
|
|
|
|
|
|
|
|
|
|
|
|
|
未使用/不支持的云区域 |
|
|
|
|
|
|
|
|
|
|
|
|
|
使用备用身份验证材料 |
|
|
|
|
|
|
|
|
|
|
|
|
|
有效凭证 |
|
|
|
|
|
|
|
|
|
|
|
|
|
绕过虚拟机/沙箱 |
|
|
|
|
|
|
|
|
|
|
|
|
|
削弱加密 |
|
|
|
|
|
|
|
|
|
|
|
|
|
XSL脚本处理 |
|
|
|
|
|
|
|
点击查看ATT&CK战术详解
安全产品为客户提供先进、创新、有效的云安全产品,覆盖云基础设施安全、云应用安全、云数据安全、云流量安全等众多领域。 查看全部安全产品购买咨询:400-800-0789转1 售后服务:400-800-0789转2
安全服务数百人专业安全团队,为100+国家重大活动提供安保服务支撑,全部实现安全0事故。 查看全部安全服务购买咨询:400-800-0789转1 售后服务:400-800-0789转2
解决方案面向政府、金融、运营商、大型企业、互联网、医疗机构等行业提供专业的云安全解决方案。购买咨询:400-800-0789转1 售后服务:400-800-0789转2
青藤智库网络安全智库,分析和研究安全技术和行业发展趋势,为网络安全人员提供全面的网络安全洞察。
了解青藤作为中国云安全整体解决方案领军者,青藤聚焦于关键信息基础设施领域的云安全建设,坚持“技术创新,科技报国”的初心,为数字中国、网络强国事业发展做贡献。
