新版ATT＆CK：框架逻辑、利用、最常用战术，读这篇就够了

九湾十八坂 2023-04-14 发布于北京

展开全文

最近在很多地方都提到了这个攻击框架，相关的介绍文档虽然各种角度都有，但很难通过一篇文章对框架有个整体了解，同时具体的落地实战方向也并不清晰，于是决定根据官方文档以及一些个人经验写篇概述性的文章。

ATT&CK模型由MITRE公司于2013年创建。MITRE公司前身是麻省理工学院的林肯实验室，是一家向美国政府提供系统工程、研究开发和信息技术支持的非营利性组织，其最引为人知的是它目前维护了全球最大的漏洞信息库CVE。而ATT&CK框架正是MITRE公司基于其在CVE漏洞库管理基础上，总结入侵者入侵实战和漏洞利用手法，从而形成详细的入侵知识库框架。

为什么要学习使用这一框架

在当今复杂的网络环境中，各种攻击技术与防御技术迭代而生，互相博弈，而这也逐渐显露出了两方面的问题。

首先，单一的攻击手段逐渐已经失去了有效性。在实际的生产应用环境中，基本已经很难利用某一基础通用漏洞对重要的业务资产产生影响，大多数企业已经初具安全意识，这当然是一个非常好的发展趋势，但这却在无形中增加了信息安全人才培养的难度。

信安作为计算机中的一个特殊分支，学习的内容广而杂，非常容易迷失方向。而传统的基于目标实践的培养方式在过去很好的激发了一代又一代网安人的成长，他们常常利用所学到的为数不多的知识就能发动一次有效的攻击（比如曾经的SQL漏洞满天飞，3389跑远控，MSF打内网），而这对于现阶段的网络环境已经变得不切实际了。

因此非常需要这样一个类似于指导方案的框架出现，使学习者能够明白学习目标是什么，所需的知识是什么，而ATT&CK框架正是提供了一个这样的索引，系统归纳总结了攻击路径中的各个宏观结构以及技术细节，具有很强的学习意义。

另一方面，现如今大量的APT攻击层出不穷，数据泄露事件频发，各类恶意软件大肆横行，企业与机构在这样的态势下越发显得疲于应对。而ATT&CK的出现正有利于这一问题的解决，通过从宏观到微观的角度，使用通用语言对各种攻击环节与行为进行具体描述，方便企业与机构据此对自身资产进行一个完整有效的安全评估，隔绝各种可能的入侵风险，这对于整个信息产业的发展都起着弥足轻重的作用。

同时，最近威胁情报这一概念也逐渐进入了人们的视野，ATT&CK通过使用定义结构化语言也为动态情报系统的发展奠定了基础，更多的相关内容可以查看文中的应用方向章节

MITRE ATT&CK 框架是2013年在非营利组织 MITRE 公司的米德堡实验中诞生。研究人员模拟攻防双方行为，通过遥测传感与行为分析改善失陷威胁检测，开发了 ATT&CK 框架（即 Adversarial Tactics, Techniques, and Common Knowledge），作为分析对手的工具。

今年10 月，ATT&CK更新至第10个版本。新版本最大变化是在企业技术领域ATT&CK中，添加了一组新的数据源和数据组件对象，从而补充ATT&CK v9 版本中ATT&CK 数据源名称的更改。本期推荐的这篇文章，涵盖了MITRE ATT&CK 框架逻辑、如何使用，以及近期攻击者最常用技战术，文章较长，建议收藏阅读。

01 MITRE ATT&CK框架

MITRE ATT&CK框架作为一个综合性知识库，通过对攻击生命周期各阶段的实际观察，从而对攻击者行为进行理解与分类，涵盖各APT组织实施的恶意行为。随着厂商及企业对框架的采用，以及框架本身不断调整，MITRE ATT&CK已被公认为了解攻击者对企业使用的行为模型与技术权威。

MITRE ATT&CK框架基础元素为战术、技术和程序，也就是TTPs（ Tactics, Techniques and Procedures）。战术回答了攻击者想要实现的目标；技术或子技术展示了攻击者实际的攻击方式以及目标如何实现；至于程序，框架解决的是威胁行为者与攻击组织为达到目标所使用技术的特定应用。此外，MITRE ATT&CK框架也涵盖了威胁检测与处置建议，以及攻击中使用的软件。具体而言，MITRE给出了3个单独矩阵，来应对不同的攻击环境，分别是：

企业技术领域 ATT&CK

该矩阵适用Windows、macOS、Linux、云（Azure AD、Office 365、谷歌Workspace、SaaS、IaaS)、网络和容器环境。同时，该矩阵还包括一个攻击者准备阶段的技术的“PRE”子部分。

移动设备ATT&CK

涵盖无移动设备访问权限却访问移动设备的战术与技术，包括与Android和iOS平台相关的信息。

工控系统（ICS）领域ATT&CK

包括了工业控制系统（ICS）环境中攻击者可能采取行动的知识库。

由于企业技术领域涉及更多更广，这篇文章我们会重点关注该领域。

我尽力，内容太多了

相看清请去 https://attack./

MITRE ATT&CK企业技术领域矩阵

02 MITRE ATT&CK 战术与技术

所谓MITRE ATT&CK的战术，是攻击者希望通过技术实现的目标，每个目标都包含了攻击者被实际观察使用的特定技术。这些战术都是以线性方式呈现，从情报收集一直到渗漏及影响，但不必按照该顺序使用，因为MITRE也并未提出特定的顺序。目前，MITRE已经识别的企业领域攻击战术有14种：

侦察：这是攻击者尝试通过尽可能多获取关于目标的信息，从而利用目标的初始阶段。该战术可以让攻击者发现有关目标网络的关键细节，比如系统漏洞和潜在的攻击媒介；

资源开发：攻击者建立资源以开展活动的一种攻击战术，例如获取所需的基础设施、开发能力以及破坏帐户与基础设施；

初始访问：解决攻击者用来在网络中获得初始据点的各种入口载体，比如鱼叉式网络钓鱼、公开的应用程序漏洞、供应链失陷等；

执行：涵盖实现在目标系统上运行攻击者控制的恶意代码或者远程访问工具的技术，通常与其他战术中的技术结合，从而在更广范围内实现目标；

维持：该战术中包括攻击者用来保持对目标系统访问的技术，因为攻击者会面对重新启动或者凭据更改等活动切断访问的情况；

权限提升：涵盖攻击者用来在系统或网络上获得更高级别权限和访问权限的技术和活动，实现这一目标的技术包括利用系统错误配置及漏洞；

防御规避：这是攻击者通过使用最独特的技术，来避免在整个入侵过程中被检测到的一个目标，它包括的技术有禁用安全控制和混淆数据；

凭证访问：由于合法凭证可以让攻击者访问更多系统并使他们更难被发现，所以这个战术的目标是使用暴力攻击、键盘记录和凭证倾销等技术来窃取凭证；

发现：该战术描述了攻击者用来获取有关内部网络的知识的技术，以便观察环境并决定下一步入侵；

横向移动：包括从网络上某个受感染系统移动到另一个系统的过程，作为获取更多信息，扩大占领网络区域的一种手段；

收集：该战术涵盖了攻击者用来收集与实现其目标相关的信息及信息来源的技术，常见的信息源包括浏览器、音频、视频以及电子邮件，实现该战术的常用技术是中间人攻击；

命令与控制：这属于攻击者尝试与目标网络上受其控制的系统进行通信的阶段，采用的技术包括数据混淆、协议隧道和流量信号；

渗漏：该战术处于攻击周期的收尾阶段，包括攻击者用来从目标网络窃取数据，同时通过压缩和加密避免检测的技术。从网络中窃取数据的常用技术，是通过命令和控制通道传输数据；

影响：攻击者为实现最终目标而使用的技术，例如破坏可用性或损害敏感数据和目标操作的完整性。

MITRE ATT&CK企业技术领域矩阵中的14种战术，每一种都包含了广泛的技术，并且都是根据攻击者在破坏企业或政府部门网络时使用过而观察到的。虽然战术只有14种，但技术达200多种，每种技术在MITRE ATT&CK中又以子技术形式进一步分析与解释，数量达到近500种。

具体而言，MITRE ATT&CK框架对每项技术都提供了特定的信息，这里也做一个简单的介绍：

技术ID：以“Txxx”格式呈现的标识符：例如，网络钓鱼为T1566，沙箱规避为T1497；

子技术：是更具体的技术，或攻击者执行技术的不同方式；

战术：即该技术的目标；

平台：是该技术适用的不同平台，例如Windows、Linux、macOS、云等等；

数据源：可以识别技术的信息来源，通常由日志系统收集；

程序：威胁组织使用该技术达到其目标的具体方式。

缓解：该技术的处置和防御策略；

检测：检测网络中攻击者和失陷指标 (IoC) 的方法。

攻击者通常会使用多种技术，来实现其总体目标，而一种技术也可用于实现多个目标。例如，中间人攻击就能用于收集信息和凭证访问，沙箱规避能够用于规避，也可用于发现目标。

03 MITRE ATT&CK框架的利用

对于企业而言，MITRE ATT&CK支持攻击者模拟，改进威胁搜寻，能够丰富SOC的网络威胁情报源，为网络安全策略提供数据驱动的决策依据，并且通常与端点检测与响应（EDR）以及安全信息和事件管理（SIEM）等工具集成，例如微步在线主机威胁检测与响应平台OneEDR针对Linux环境，具备80%的ATT&CK覆盖率及自研规则，能够全面准确检测入侵行为。对于MITRE ATT&CK框架，企业可在以下方面加以应用：

网络威胁情报

网络威胁情报的价值在于让企业了解网络之外正在发生的情况，提高对网络威胁的可见性，从而有效检测和应对威胁。而在系统破坏进一步发生前，企业可以利用不同来源的IoCs来映射攻击者TTP，并预测其在攻击期间的行为。通过MITRE ATT&CK框架能够保证企业安全团队获得需要检测潜在攻击所需的信息，从而主动采取行动。

威胁狩猎

利用MITRE ATT&CK框架的另一个领域是威胁狩猎。ATT&CK分类法能够基于攻击者TTP知识库，收集和过滤信息，有效检测恶意活动。使用ATT&CK，安全人员可以利用经验驱动的用例来检测网络活动或其余攻击活动，促进搜寻过程。

风险管理

通过由MITRE ATT&CK产生的知识和数据，企业可借此衡量自身现有能力，并根据检测到的防御覆盖差距，证明日常的安全培训与投资的合理性。

合规管控测试

可以利用MITRE ATT&CK，帮助企业对其安全控制和措施进行测试，将其映射到攻击中使用的特征与技术，从而评估企业当前安全是否符合法规要求。

商业安全解决方案评估

MITRE从2018年以来，就一直使用ATT&CK框架来评估各种安全产品的性能，并且对不同厂商在ATT&CK知识库中检测和响应当年真实威胁行为者和攻击组织的能力，会发布年度性MITRE ATT&CK评估。所以，MITRE ATT&CK可以作为企业评估安全产品的一个重要维度。

攻击者模拟与红队行动组织

ATT&CK属于攻击过程的攻击视角，所以最常见的用例是攻击者模拟，或者红队行动组织。利用ATT&CK红队TTPs提供的情报，可以创建相关的攻击对手仿真，从而测试和验证企业的防御，也可以展示网络攻击和各种攻击者技术的影响。

明确防御差距

出现重大威胁状况变化时，ATT&CK框架会进行更新，通常是每季度一次。所以，企业可以通过ATT&CK框架来评估自身的防御能力、安全工具及安全可见性。通过评估一个组织的网络安全态势的所有这些要素，ATT&CK提供了识别差距的能力，从而采用适当的措施和安全工具。

这里，整体以一个勒索软件攻击为例。如果企业极易受到勒索软件的影响，那就可以查看勒索软件及其在Mitre ATT&CK框架中的部署方式，以及勒索软件是如何在整个网络中移动，然后采取行动集中防御和监控，从而在该类攻击进入时快速检测或进行阻止。也就是说，Mitre ATT&CK能够帮助企业提供风险路线图之间的差距，告诉企业需要保护哪些地方。

04 常用的MITRE ATT&CK技战术

根据安全机构vFeed编制的一份2020十大最常用MITRE ATT&CK技战术列表发现，攻击者使用最多的战术为防御绕过。如果将该最常用的技战术与2020年被利用最多的10个漏洞进行映射，发现70%的常见漏洞与ATT&CK MITRE常用技战术存在直接关联。并且根据该ATT&CK技战术列表，文件系统访问控制与系统访问控制是被绕过最多的防御控制。这就意味着，对基础网络设施的加固与修复应该成为企业的一个重点。

虽然网络安全框架经常被认为只是一种理论模型，但MITRE ATT&CK相比之下更实际，它是网络入侵与攻击者行为的真实展现，非常详尽地展示了攻击者如何攻击。这也是利用MITRE ATT&CK框架的最大好处，能够真正了解攻击者及其运作方式，如何进入企业网络，如何执行各种目标经历的各个步骤。

与其他攻击框架的比较

Cyber Kill Chain

Cyber Kill Chain是由Lockheed Martin洛克希德·马丁以开发、制造军用飞机闻名世界（飞机和武器需要标准化所以总是能出很多标准和概念吧）开发的攻击链框架，确定了攻击者必须完成什么才能实现他们的目标，其展示的七个步骤增强了对于攻击的可见性，并丰富了分析师对攻击者TTPs（Tactics, Techniques and Procedures,战术、技术和程序）的了解，它同时也是 Intelligence Driven Defense模型的一部分。因为总共由七个步骤组成，所以也被称为七步杀链

很明显的看出，KillChain主要是从宏观角度对实际攻击场景中的各步骤进行定义，缺乏技术细节。

洛克希德·马丁生产F35战斗机和航天器不错，很擅长提出理念与标准但是对于信息安全理解还是需要再精细化。

PTES（Penetration Testing Execution Standard ,渗透测试执行标准）

PTES是一种渗透测试标准，旨在提供一种通用语言描述的渗透测试执行范围和标准，始于2009年初，由一些创始成员围绕渗透测试行业讨论所得，参与者可以查看此列表。

其内容由7个主要部分组成，但该标准实际上并没有提供关于执行实际渗透测试的技术要求，但有一份相关的实践技术指南：
http://www./index.php/PTES_Technical_Guidelines

PTES本身只是一种标准规范，其所对应的技术指南虽然包含了大量具体的细节，但随着信息技术的发展也逐渐显得匮乏与落后。相较于ATT&CK来说，这一标准的不足还是比较明显的，无论是宏观还是微观角度都有一定的差距，且缺乏通用的符号语言用于定义攻击链中的环节，但作为一份早期的渗透测试标准还是有非常高的参考意义的