ATT&CK框架由“MITRE”安全组织提出并列出了APT(高级可持续威胁攻击)的14个阶段涉及到206个安全技术点上千种攻击/检测手段,基本覆盖所有网络应用,后期还会继续研究与添加技术点与攻击手段,下面简单说一下ATT&CK框架的14个阶段。
PS:翻译的很渣凑合看把先图片
MITRE官网地址:attack.mitre.org
1.侦察
侦察包括让对手主动或被动地收集可用于支持瞄准的信息的技术。此类信息可能包括受害者组织、基础设施或工作人员/人员的详细信息。对手可以利用这些信息帮助对手生命周期的其他阶段,例如利用收集到的信息来规划和执行初始访问、确定妥协后目标的范围和优先级,或推动和领导进一步的侦察工作。
2.资源开发
资源开发包括涉及对手创建、购买或破坏/窃取可用于支持定位的资源的技术。此类资源包括基础设施、帐户或功能。这些资源可以由对手利用,以帮助在对手生命周期的其他阶段,如使用购买的域支持指挥和控制,电子邮件帐户网络钓鱼作为初始访问的一部分,或窃取代码签名证书,以帮助防御逃避。
3.初始访问
初始访问包括使用各种条目向量在网络中获得初始立足点的技术。用于立足的技术包括有针对性的网络钓鱼和利用面向公众的 Web 服务器上的弱点。通过初始访问获得的立足点可能允许继续访问,如有效帐户和使用外部远程服务,也可能由于密码更改而有限使用。
4.执行
执行包括导致对手控制的代码在本地或远程系统上运行的技术。运行恶意代码的技术通常与所有其他策略的技术配对,以实现更广泛的目标,如探索网络或窃取数据。例如,对手可能会使用远程访问工具运行运行用于远程系统发现的 PowerShell 脚本。
5.持久化
包括对手用来在重新启动、更改凭据和其他可能切断其访问权限的中断中保持对系统的访问的技术。用于持久性的技术包括任何访问、操作或配置更改,这些更改允许它们在系统上保持立足点,例如替换或劫持合法代码或添加启动代码。
6.特权提升
包括对手用于在系统或网络上获得更高级别权限的技术。对手通常可以进入和探索具有无特权访问的网络,但需要更高的权限才能实现其目标。常见的方法是利用系统弱点、配置错误和漏洞。提升访问级别的示例包括: • SYSTEM/根级别• 具有类似管理员访问的本地管理员 • 具有特定系统访问权限的用户帐户或执行特定功能的用户帐户 这些技术通常与持久性技术重叠,因为允许对手坚持的操作系统功能可以在高架上下文中执行。
7.防御绕过
包括对手在整个妥协过程中避免被发现的技术。用于防御规避的技术包括卸载/禁用安全软件或混淆/加密数据和脚本。对手还利用和滥用值得信赖的流程来隐藏和伪装他们的恶意软件。当这些技术包括颠覆防御的额外好处时,其他战术的技术在这里被交叉列出。
8.凭据访问
凭据访问包括窃取帐户名称和密码等凭据的技术。用于获取凭据的技术包括密钥记录或凭据倾销。使用合法凭据可以使对手访问系统,使其更难检测,并提供创建更多帐户以帮助实现其目标的机会。
9.内网发现
包括对手可能用来获取有关系统和内部网络的知识的技术。这些技术帮助对手在决定如何行动之前观察环境和定位自己。他们还允许对手探索他们能够控制什么,以及他们的切入点周围是什么,以发现它如何能够有利于他们目前的目标。本机操作系统工具通常用于实现此妥协后的信息收集目标。
10.横向运动
横向运动由对手用来进入和控制网络上的远程系统的技术组成。遵循他们的主要目标往往需要探索网络,以找到他们的目标,并随后获得访问它。实现他们的目标通常涉及通过多个系统和帐户进行旋转以获得收益。对手可以安装自己的远程访问工具来完成横向移动,或者使用具有本地网络和操作系统工具的合法凭据,这些工具可能更隐秘。
11.收集
收集由对手可用于收集信息的技术组成,收集的信息来源与跟踪对手的目标有关。通常,收集数据后的下一个目标是窃取(渗透)数据。常见目标源包括各种驱动器类型、浏览器、音频、视频和电子邮件。常见的收集方法包括捕获屏幕截图和键盘输入。
12.命令和控制
包括对手可能用来与受害者网络内受其控制的系统通信的技术。对手通常试图模仿正常、预期的流量以避免检测。根据受害者的网络结构和防御,对手可以通过多种方式建立不同级别的隐身指挥和控制。
13.渗透
渗透包括对手可能用来从您的网络窃取数据的技术。一旦他们收集了数据,对手通常会将其打包,以避免在删除数据时被发现。这可以包括压缩和加密。从目标网络获取数据的技术通常包括通过其命令和控制通道或备用通道传输数据,也可能包括对传输施加大小限制。
14.攻击
影响包括对手通过操纵业务和运营流程来破坏可用性或破坏完整性的技术。用于影响的技术可能包括破坏或篡改数据。在某些情况下,业务流程看起来可能很好,但可能已更改以有利于对手的目标。这些技术可能被对手用来贯彻其最终目标,或为违反保密规定提供掩护。
