ATT&CK笔记

组成

MITRE ATT&CK框架的矩阵分三个大类:Enterprise、Mobile、ICS。

Terms

  • TTPs(Tactics, Techniques and Procedures):战术、技术和程序,描述了攻击者从踩点侦察到获取数据这一过程中,每一步是如何完成任务的。
  • IoC(Indicators of Compromise):失陷指标。
  • 痛苦金字塔模型(The Pyramid of Pain):一种同时用于CTI和威胁猎杀的模型,由IoC组成,通过IoC进行组织分类并描述各类IoC在攻防对抗中的价值,这种模型可以表示一旦你确定了对手的危害指标、网络基础设置和工具后,对手不得已改变自己的攻击方式面临的“痛苦”程度。

分类

ATT&CK Enterprise (企业矩阵,通用性最高)

14 Tactics

version 11.0

  • Reconnaissance:侦察
  • Resource Development:资源开发
  • Initial Access:初始访问
  • Execution:执行
  • Persistence:持久化
  • Privilege Escalation:权限提升
  • Defense Evasion:防御绕过
  • Credential Access:凭证访问
  • Discovery:发现
  • Lateral Movement:横向移动
  • Collection:收集
  • Command and Control:命令与控制
  • Exfiltration:数据窃取
  • Impact:危害

ATT&CK Mobile (移动端矩阵)

ATT&CK ICS (工控矩阵)

ATT&CK应用

APT分析

Red Team 武器研发

REF

专门写ATT&CK落地的书其实挺少的,目前推荐如下

  • ATT&CK框架实践指南 - 青藤云编写,对于入门来说很推荐,目前已经出第二版了。
  • ATT&CK与威胁猎杀实战 - 原版 Practical Threat Intelligence and Data-Driven Threat Hunting,ATT&CK和威胁猎杀应用推荐
  • MITRE ATT&CK Matrix