一文说清楚MITRE ATT&CK威胁框架

字数 2960 2025-08-05 08:18:15

MITRE ATT&CK威胁框架全面解析

1. ATT&CK框架概述

MITRE ATT&CK（Adversarial Tactics, Techniques and Common Knowledge）是一个以攻击者视角构建的网络攻击分类和说明框架，由非营利组织MITRE创建。该框架基于真实世界观察，系统地对对手行为进行分类。

1.1 核心概念

战术(Tactics): 代表"为什么"或对手执行某项行动的原因，是攻击者的战术目标
技术(Techniques): 代表对手实现战术目标的方式
子技术(Sub-techniques): 对对抗行为的更具体或更低层次的描述

1.2 技术领域

ATT&CK包含三个主要技术领域：

企业(Enterprise): 传统企业IT网络和云服务
移动(Mobile): 移动端设备
工业控制系统(ICS): 工业控制环境

2. ATT&CK框架构成

ATT&CK框架由9个核心组件构成，通过技术相互关联：

2.1 战术、技术与子技术

战术: 攻击者的目标（如持久化、横向移动等）
技术: 实现战术的具体方法
子技术: 更细化的技术实现方式

2.2 防御相关组件

数据源(Data Sources): 用于检测技术的来源数据
- 组成：名称、基本描述、元数据和数据组件
- 作用：用于某技术的检测，通过数据组件与技术关联
缓解措施(Mitigations): 预防或缓解技术的方法
- 组成：基本描述、元数据、技术关联、Navigator信息、参考来源
- 示例：Pre-compromise(M1056)可缓解侦察和资源开发阶段的技术
资产(Assets): ICS环境中常见的设备和系统（仅ICS领域）

2.3 检测相关组件

攻击组织(Groups): 已知的攻击组织及其使用的技术
- 组成：基本描述、元数据、技术使用、软件使用、Navigator信息、参考来源
软件(Software): 攻击者使用的工具和恶意软件
- 分类：工具（商业/开源软件）和恶意软件
- 组成：基本描述、元数据、关联技术、关联组织、Navigator信息、参考来源
攻击活动(Campaigns): 特定时期内完成的一系列具有共同目标的攻击活动
- 组成：基本描述、元数据、关联技术、关联软件、Navigator信息、参考来源

3. ATT&CK战术详解（企业领域v14）

3.1 侦察(Reconnaissance, TA0043)

技术数量: 10（子技术34）
特点: 攻击前阶段，难以防御
关键技术: 钓鱼攻击、公开数据库搜索、社交媒体信息收集
缓解措施: Pre-compromise(M1056)

3.2 资源开发(Resource Development, TA0042)

技术数量: 8（子技术37）
特点: 攻击前准备阶段
开发资源: 基础设施、账户、能力(恶意软件、exp等)

3.3 初始访问(Initial Access, TA0001)

技术数量: 10（子技术11）
特点: 攻击阶段第一个战术
关键技术: 鱼叉式钓鱼(T1566)、Web服务漏洞利用(T1190)
缓解措施: 软件更新(M1051)、应用沙盒隔离(M1048)

3.4 攻击执行(Execution, TA0002)

技术数量: 14（子技术22）
特点: 应用范围最广泛的战术
关键技术: 命令和脚本解释器(T1059)、Powershell脚本(T1059.001)

3.5 持久化(Persistence, TA0003)

技术数量: 20（子技术95）
特点: 防守方最应重视的战术
关键技术: 计划任务(T1542)、修改身份认证(T1556)、劫持进程(T1574)

3.6 权限提升(Privilege Escalation, TA0004)

技术数量: 14（子技术80）
特点: 攻击者最喜爱的战术之一
关键技术: 漏洞提权(T1068)、容器逃逸(T1611)、进程注入(T1055)

3.7 防御规避(Defense Evasion, TA0005)

技术数量: 42（子技术148）
特点: 技术和子技术最多的战术
关键技术: 卸载安全软件、数据混淆/加密、利用受信任进程

3.8 凭证访问(Credential Access, TA0006)

技术数量: 17（子技术47）
特点: 信息窃取中攻击者最想要的
关键技术: 键盘记录、凭证转储

3.9 环境发现(Discovery, TA0007)

技术数量: 32（子技术14）
特点: 攻击阶段的侦察战术
关键技术: 浏览器书签(T1217)、注册表信息(T1012)、进程信息(T1057)

3.10 横向移动(Lateral Movement, TA0008)

技术数量: 9（子技术14）
特点: 关键目标寻找与扩散
关键技术: 远程服务漏洞(T1210)、内部钓鱼(T1534)、会话劫持(T1563)

3.11 信息收集(Collection, TA0009)

技术数量: 17（子技术20）
特点: 系统内部的信息搜集
关键技术: 截屏、键盘记录、数据源收集

3.12 命令与控制(Command and Control, TA0011)

技术数量: 17（子技术23）
特点: 远控与命令执行
关键技术: 应用层协议(T1071)、可移动介质通信(T1092)、加密信道(T1573)

3.13 数据窃取(Exfiltration, TA0010)

技术数量: 9（子技术10）
特点: 数据收集与回传
关键技术: C2信道回传(T1041)、物理介质回传(T1052)、Web服务回传(T1567)

3.14 危害影响(Impact, TA0040)

技术数量: 14（子技术13）
特点: 框架的最后一个战术
关键技术: 删除账户(T1531)、数据加密(T1486)、磁盘擦除(T1561)

4. ATT&CK应用场景

4.1 检测和分析

帮助防御者分析攻击者行为，检测对手使用的技术
示例：构建、测试和改进基于行为的分析检测功能

4.2 威胁情报

提供通用语言来构建、比较、分析威胁情报
示例：关联APT组织和恶意软件的技术使用

4.3 对手仿真和红队行动

提供通用语言和框架模拟特定威胁
示例：红队行动规划和执行

4.4 评估与工程决策

评估组织能力并推动工程决策
示例：确定应实施哪些工具或审计哪些日志记录

5. 学习建议

从战术矩阵入手：先理解14个核心战术及其关系
结合实际案例：通过攻击组织、软件和活动的技术使用加深理解
关注防御组件：研究数据源和缓解措施的实际应用
使用工具辅助：如ATT&CK Navigator进行可视化学习
分领域深入：根据兴趣选择企业、移动或ICS领域重点研究

6. 后续学习路径

知识理解类：系统整理所有战术、技术及其原理、缓解措施
工具使用类：掌握ATT&CK Navigator、CAR项目等工具
应用实践类：将框架应用于威胁检测、恶意代码分析等实际场景

MITRE ATT&CK威胁框架全面解析 1. ATT&CK框架概述 MITRE ATT&CK（Adversarial Tactics, Techniques and Common Knowledge）是一个以攻击者视角构建的网络攻击分类和说明框架，由非营利组织MITRE创建。该框架基于真实世界观察，系统地对对手行为进行分类。 1.1 核心概念战术(Tactics) : 代表"为什么"或对手执行某项行动的原因，是攻击者的战术目标技术(Techniques) : 代表对手实现战术目标的方式子技术(Sub-techniques) : 对对抗行为的更具体或更低层次的描述 1.2 技术领域 ATT&CK包含三个主要技术领域：企业(Enterprise) : 传统企业IT网络和云服务移动(Mobile) : 移动端设备工业控制系统(ICS) : 工业控制环境 2. ATT&CK框架构成 ATT&CK框架由9个核心组件构成，通过技术相互关联： 2.1 战术、技术与子技术战术 : 攻击者的目标（如持久化、横向移动等）技术 : 实现战术的具体方法子技术 : 更细化的技术实现方式 2.2 防御相关组件数据源(Data Sources) : 用于检测技术的来源数据组成：名称、基本描述、元数据和数据组件作用：用于某技术的检测，通过数据组件与技术关联缓解措施(Mitigations) : 预防或缓解技术的方法组成：基本描述、元数据、技术关联、Navigator信息、参考来源示例：Pre-compromise(M1056)可缓解侦察和资源开发阶段的技术资产(Assets) : ICS环境中常见的设备和系统（仅ICS领域） 2.3 检测相关组件攻击组织(Groups) : 已知的攻击组织及其使用的技术组成：基本描述、元数据、技术使用、软件使用、Navigator信息、参考来源软件(Software) : 攻击者使用的工具和恶意软件分类：工具（商业/开源软件）和恶意软件组成：基本描述、元数据、关联技术、关联组织、Navigator信息、参考来源攻击活动(Campaigns) : 特定时期内完成的一系列具有共同目标的攻击活动组成：基本描述、元数据、关联技术、关联软件、Navigator信息、参考来源 3. ATT&CK战术详解（企业领域v14） 3.1 侦察(Reconnaissance, TA0043) 技术数量 : 10（子技术34）特点 : 攻击前阶段，难以防御关键技术 : 钓鱼攻击、公开数据库搜索、社交媒体信息收集缓解措施 : Pre-compromise(M1056) 3.2 资源开发(Resource Development, TA0042) 技术数量 : 8（子技术37）特点 : 攻击前准备阶段开发资源 : 基础设施、账户、能力(恶意软件、exp等) 3.3 初始访问(Initial Access, TA0001) 技术数量 : 10（子技术11）特点 : 攻击阶段第一个战术关键技术 : 鱼叉式钓鱼(T1566)、Web服务漏洞利用(T1190) 缓解措施 : 软件更新(M1051)、应用沙盒隔离(M1048) 3.4 攻击执行(Execution, TA0002) 技术数量 : 14（子技术22）特点 : 应用范围最广泛的战术关键技术 : 命令和脚本解释器(T1059)、Powershell脚本(T1059.001) 3.5 持久化(Persistence, TA0003) 技术数量 : 20（子技术95）特点 : 防守方最应重视的战术关键技术 : 计划任务(T1542)、修改身份认证(T1556)、劫持进程(T1574) 3.6 权限提升(Privilege Escalation, TA0004) 技术数量 : 14（子技术80）特点 : 攻击者最喜爱的战术之一关键技术 : 漏洞提权(T1068)、容器逃逸(T1611)、进程注入(T1055) 3.7 防御规避(Defense Evasion, TA0005) 技术数量 : 42（子技术148）特点 : 技术和子技术最多的战术关键技术 : 卸载安全软件、数据混淆/加密、利用受信任进程 3.8 凭证访问(Credential Access, TA0006) 技术数量 : 17（子技术47）特点 : 信息窃取中攻击者最想要的关键技术 : 键盘记录、凭证转储 3.9 环境发现(Discovery, TA0007) 技术数量 : 32（子技术14）特点 : 攻击阶段的侦察战术关键技术 : 浏览器书签(T1217)、注册表信息(T1012)、进程信息(T1057) 3.10 横向移动(Lateral Movement, TA0008) 技术数量 : 9（子技术14）特点 : 关键目标寻找与扩散关键技术 : 远程服务漏洞(T1210)、内部钓鱼(T1534)、会话劫持(T1563) 3.11 信息收集(Collection, TA0009) 技术数量 : 17（子技术20）特点 : 系统内部的信息搜集关键技术 : 截屏、键盘记录、数据源收集 3.12 命令与控制(Command and Control, TA0011) 技术数量 : 17（子技术23）特点 : 远控与命令执行关键技术 : 应用层协议(T1071)、可移动介质通信(T1092)、加密信道(T1573) 3.13 数据窃取(Exfiltration, TA0010) 技术数量 : 9（子技术10）特点 : 数据收集与回传关键技术 : C2信道回传(T1041)、物理介质回传(T1052)、Web服务回传(T1567) 3.14 危害影响(Impact, TA0040) 技术数量 : 14（子技术13）特点 : 框架的最后一个战术关键技术 : 删除账户(T1531)、数据加密(T1486)、磁盘擦除(T1561) 4. ATT&CK应用场景 4.1 检测和分析帮助防御者分析攻击者行为，检测对手使用的技术示例：构建、测试和改进基于行为的分析检测功能 4.2 威胁情报提供通用语言来构建、比较、分析威胁情报示例：关联APT组织和恶意软件的技术使用 4.3 对手仿真和红队行动提供通用语言和框架模拟特定威胁示例：红队行动规划和执行 4.4 评估与工程决策评估组织能力并推动工程决策示例：确定应实施哪些工具或审计哪些日志记录 5. 学习建议从战术矩阵入手：先理解14个核心战术及其关系结合实际案例：通过攻击组织、软件和活动的技术使用加深理解关注防御组件：研究数据源和缓解措施的实际应用使用工具辅助：如ATT&CK Navigator进行可视化学习分领域深入：根据兴趣选择企业、移动或ICS领域重点研究 6. 后续学习路径知识理解类：系统整理所有战术、技术及其原理、缓解措施工具使用类：掌握ATT&CK Navigator、CAR项目等工具应用实践类：将框架应用于威胁检测、恶意代码分析等实际场景