ATT&CK笔记
组成
MITRE ATT&CK框架的矩阵分三个大类:Enterprise、Mobile、ICS。
Terms
- TTPs(Tactics, Techniques and Procedures):战术、技术和程序,描述了攻击者从踩点侦察到获取数据这一过程中,每一步是如何完成任务的。
- IoC(Indicators of Compromise):失陷指标。
- 痛苦金字塔模型(The Pyramid of Pain):一种同时用于CTI和威胁猎杀的模型,由IoC组成,通过IoC进行组织分类并描述各类IoC在攻防对抗中的价值,这种模型可以表示一旦你确定了对手的危害指标、网络基础设置和工具后,对手不得已改变自己的攻击方式面临的“痛苦”程度。
分类
ATT&CK Enterprise (企业矩阵,通用性最高)
14 Tactics
version 11.0
- Reconnaissance:侦察
- Resource Development:资源开发
- Initial Access:初始访问
- Execution:执行
- Persistence:持久化
- Privilege Escalation:权限提升
- Defense Evasion:防御绕过
- Credential Access:凭证访问
- Discovery:发现
- Lateral Movement:横向移动
- Collection:收集
- Command and Control:命令与控制
- Exfiltration:数据窃取
- Impact:危害
ATT&CK Mobile (移动端矩阵)
ATT&CK ICS (工控矩阵)
ATT&CK应用
APT分析
Red Team 武器研发
REF
专门写ATT&CK落地的书其实挺少的,目前推荐如下
- ATT&CK框架实践指南 - 青藤云编写,对于入门来说很推荐,目前已经出第二版了。
- ATT&CK与威胁猎杀实战 - 原版 Practical Threat Intelligence and Data-Driven Threat Hunting,ATT&CK和威胁猎杀应用推荐
- MITRE ATT&CK Matrix