[ATT&CK系列-学习理解类]ATT&CK威胁框架各战术、技术详解(一) <侦察战术>
字数 2088 2025-08-22 12:22:48

ATT&CK威胁框架侦察战术详解

1. 侦察战术概述

1.1 基本概念

  • 名称: Reconnaissance
  • 编号: TA0043
  • 创建时间: 2020-10-18
  • 框架位置: 1
  • 技术数量: 10
  • 官方链接: https://attack.mitre.org/tactics/TA0043/

侦察战术是ATT&CK框架中的第一个战术,属于攻击前阶段。攻击者在正式攻击前会收集目标的有用信息,以规划后续行动。

1.2 战术特点

  • 新增于ATT&CK v8版本,与资源开发战术一起被加入
  • 整合了PRE ATT&CK的内容
  • 主要关注攻击前的信息收集活动
  • 防御难度大,因为相关技术与正常行为类似且超出企业防御范围

1.3 缓解措施

  • 方法: Pre-compromise
  • 编号: M1056
  • 可缓解技术: 攻击前阶段的技术(侦察和资源开发)
  • 官方链接: https://attack.mitre.org/mitigations/M1056/

2. 侦察战术下的技术详解

2.1 主动扫描(T1595)

2.1.1 基本描述

  • 名称: Active Scanning
  • 编号: T1595
  • 创建时间: 2020-10-02
  • 框架位置: 1-1
  • 子技术数量: 3
  • 官方链接: https://attack.mitre.org/techniques/T1595/

攻击者通过网络流量探测受害者基础设施的扫描,包括使用网络协议(如ICMP)的本地功能。

2.1.2 子技术

IP段扫描(T1595.001)

  • 描述: 扫描受害者的IP段,收集网络信息
  • 关联组织: TeamTNT
  • 检测方法: 监控异常网络流量模式

漏洞扫描(T1595.002)

  • 描述: 扫描受害者查找使用的漏洞
  • 关联组织: Aquatic Panda
  • 检测方法: 监控异常协议标准和流量

目录扫描(T1595.003)

  • 描述: 使用暴力破解技术迭代探测基础设施
  • 关联组织: Volatile Cedar
  • 检测方法: 监控异常数据流

2.2 搜集受害者主机信息(T1592)

2.2.1 基本描述

  • 名称: Gather Victim Host Information
  • 编号: T1592
  • 创建时间: 2020-10-02
  • 框架位置: 1-2
  • 子技术数量: 4
  • 官方链接: https://attack.mitre.org/techniques/T1592/

收集主机相关信息,包括管理数据和配置信息。

2.2.2 子技术

搜集主机硬件信息(T1592.001)

  • 描述: 收集硬件设备类型与版本信息

搜集主机软件信息(T1592.002)

  • 描述: 收集软件类型与版本信息
  • 关联组织: Andariel

搜集主机固件信息(T1592.003)

  • 描述: 收集固件类型与版本信息

搜集主机客户端配置信息(T1592.004)

  • 描述: 收集操作系统、架构、语言等配置
  • 关联组织: HAFNIUM

2.3 搜集受害者身份信息(T1589)

2.3.1 基本描述

  • 名称: Gather Victim Identity Information
  • 编号: T1589
  • 创建时间: 2020-10-02
  • 框架位置: 1-3
  • 子技术数量: 3
  • 官方链接: https://attack.mitre.org/techniques/T1589/

收集个人信息和敏感凭据等身份信息。

2.3.2 子技术

搜集凭证(T1589.001)

  • 描述: 收集账号凭证
  • 关联组织: APT28

搜集电子邮件地址信息(T1589.002)

  • 描述: 收集电子邮件地址
  • 关联组织: APT32

搜集员工姓名(T1589.003)

  • 描述: 收集员工姓名
  • 关联组织: Kimsuky

2.4 搜集受害者网络信息(T1590)

2.4.1 基本描述

  • 名称: Gather Victim Network Information
  • 编号: T1590
  • 创建时间: 2020-10-02
  • 框架位置: 1-4
  • 子技术数量: 6
  • 官方链接: https://attack.mitre.org/techniques/T1590/

收集网络相关信息,包括管理数据和拓扑结构。

2.4.2 子技术

搜集域属性信息(T1590.001)

  • 描述: 收集域名、注册商等域属性
  • 关联工具: AADInternals

搜集DNS信息(T1590.002)

  • 描述: 收集DNS记录、MX记录等

3. 防御建议

3.1 通用防御措施

  • 尽量减少外部可获得的数据数量和敏感性
  • 删除或禁用对不必要系统的外部访问
  • 监控异常网络流量模式和数据包

3.2 检测方法

  • 网络流量分析(DS0029)
  • 监控异常协议标准和流量
  • 检测不常见的数据流

4. 总结

侦察战术是攻击链的第一阶段,攻击者通过多种技术收集目标信息。虽然防御难度大,但了解这些技术有助于企业减少暴露面。防御重点应放在最小化敏感信息暴露和监控异常活动上。

ATT&CK威胁框架侦察战术详解 1. 侦察战术概述 1.1 基本概念 名称 : Reconnaissance 编号 : TA0043 创建时间 : 2020-10-18 框架位置 : 1 技术数量 : 10 官方链接 : https://attack.mitre.org/tactics/TA0043/ 侦察战术是ATT&CK框架中的第一个战术,属于攻击前阶段。攻击者在正式攻击前会收集目标的有用信息,以规划后续行动。 1.2 战术特点 新增于ATT&CK v8版本,与资源开发战术一起被加入 整合了PRE ATT&CK的内容 主要关注攻击前的信息收集活动 防御难度大,因为相关技术与正常行为类似且超出企业防御范围 1.3 缓解措施 方法 : Pre-compromise 编号 : M1056 可缓解技术 : 攻击前阶段的技术(侦察和资源开发) 官方链接 : https://attack.mitre.org/mitigations/M1056/ 2. 侦察战术下的技术详解 2.1 主动扫描(T1595) 2.1.1 基本描述 名称 : Active Scanning 编号 : T1595 创建时间 : 2020-10-02 框架位置 : 1-1 子技术数量 : 3 官方链接 : https://attack.mitre.org/techniques/T1595/ 攻击者通过网络流量探测受害者基础设施的扫描,包括使用网络协议(如ICMP)的本地功能。 2.1.2 子技术 IP段扫描(T1595.001) 描述 : 扫描受害者的IP段,收集网络信息 关联组织 : TeamTNT 检测方法 : 监控异常网络流量模式 漏洞扫描(T1595.002) 描述 : 扫描受害者查找使用的漏洞 关联组织 : Aquatic Panda 检测方法 : 监控异常协议标准和流量 目录扫描(T1595.003) 描述 : 使用暴力破解技术迭代探测基础设施 关联组织 : Volatile Cedar 检测方法 : 监控异常数据流 2.2 搜集受害者主机信息(T1592) 2.2.1 基本描述 名称 : Gather Victim Host Information 编号 : T1592 创建时间 : 2020-10-02 框架位置 : 1-2 子技术数量 : 4 官方链接 : https://attack.mitre.org/techniques/T1592/ 收集主机相关信息,包括管理数据和配置信息。 2.2.2 子技术 搜集主机硬件信息(T1592.001) 描述 : 收集硬件设备类型与版本信息 搜集主机软件信息(T1592.002) 描述 : 收集软件类型与版本信息 关联组织 : Andariel 搜集主机固件信息(T1592.003) 描述 : 收集固件类型与版本信息 搜集主机客户端配置信息(T1592.004) 描述 : 收集操作系统、架构、语言等配置 关联组织 : HAFNIUM 2.3 搜集受害者身份信息(T1589) 2.3.1 基本描述 名称 : Gather Victim Identity Information 编号 : T1589 创建时间 : 2020-10-02 框架位置 : 1-3 子技术数量 : 3 官方链接 : https://attack.mitre.org/techniques/T1589/ 收集个人信息和敏感凭据等身份信息。 2.3.2 子技术 搜集凭证(T1589.001) 描述 : 收集账号凭证 关联组织 : APT28 搜集电子邮件地址信息(T1589.002) 描述 : 收集电子邮件地址 关联组织 : APT32 搜集员工姓名(T1589.003) 描述 : 收集员工姓名 关联组织 : Kimsuky 2.4 搜集受害者网络信息(T1590) 2.4.1 基本描述 名称 : Gather Victim Network Information 编号 : T1590 创建时间 : 2020-10-02 框架位置 : 1-4 子技术数量 : 6 官方链接 : https://attack.mitre.org/techniques/T1590/ 收集网络相关信息,包括管理数据和拓扑结构。 2.4.2 子技术 搜集域属性信息(T1590.001) 描述 : 收集域名、注册商等域属性 关联工具 : AADInternals 搜集DNS信息(T1590.002) 描述 : 收集DNS记录、MX记录等 3. 防御建议 3.1 通用防御措施 尽量减少外部可获得的数据数量和敏感性 删除或禁用对不必要系统的外部访问 监控异常网络流量模式和数据包 3.2 检测方法 网络流量分析(DS0029) 监控异常协议标准和流量 检测不常见的数据流 4. 总结 侦察战术是攻击链的第一阶段,攻击者通过多种技术收集目标信息。虽然防御难度大,但了解这些技术有助于企业减少暴露面。防御重点应放在最小化敏感信息暴露和监控异常活动上。