简单讲解一下什么是ATT&CK框架

最新推荐文章于 2024-05-09 15:06:46 发布

TaibaiXX1

最新推荐文章于 2024-05-09 15:06:46 发布

阅读量9.5k

点赞数 11

文章标签：网络安全编程语言操作系统 java

本文链接：https://blog.csdn.net/tangshuangsss/article/details/115475468

版权

点击"仙网攻城狮”关注我们哦~

不当想研发的渗透人不是好运维

让我们每天进步一点点

简介

ATT&CK框架由“MITRE”安全组织提出并列出了APT(高级可持续威胁攻击)的14个阶段涉及到206个安全技术点上千种攻击/检测手段，基本覆盖所有网络应用，后期还会继续研究与添加技术点与攻击手段，下面简单说一下ATT&CK框架的14个阶段。

PS：翻译的很渣凑合看把先

MITRE官网地址：attack.mitre.org

1.侦察

侦察包括让对手主动或被动地收集可用于支持瞄准的信息的技术。此类信息可能包括受害者组织、基础设施或工作人员/人员的详细信息。对手可以利用这些信息帮助对手生命周期的其他阶段，例如利用收集到的信息来规划和执行初始访问、确定妥协后目标的范围和优先级，或推动和领导进一步的侦察工作。

2.资源开发

资源开发包括涉及对手创建、购买或破坏/窃取可用于支持定位的资源的技术。此类资源包括基础设施、帐户或功能。这些资源可以由对手利用，以帮助在对手生命周期的其他阶段，如使用购买的域支持指挥和控制，电子邮件帐户网络钓鱼作为初始访问的一部分，或窃取代码签名证书，以帮助防御逃避。

3.初始访问

初始访问包括使用各种条目向量在网络中获得初始立足点的技术。用于立足的技术包括有针对性的网络钓鱼和利用面向公众的 Web 服务器上的弱点。通过初始访问获得的立足点可能允许继续访问，如有效帐户和使用外部远程服务，也可能由于密码更改而有限使用。

4.执行

执行包括导致对手控制的代码在本地或远程系统上运行的技术。运行恶意代码的技术通常与所有其他策略的技术配对，以实现更广泛的目标，如探索网络或窃取数据。例如，对手可能会使用远程访问工具运行运行用于远程系统发现的 PowerShell 脚本。

5.持久化

包括对手用来在重新启动、更改凭据和其他可能切断其访问权限的中断中保持对系统的访问的技术。用于持久性的技术包括任何访问、操作或配置更改，这些更改允许它们在系统上保持立足点，例如替换或劫持合法代码或添加启动代码。

6.特权提升

包括对手用于在系统或网络上获得更高级别权限的技术。对手通常可以进入和探索具有无特权访问的网络，但需要更高的权限才能实现其目标。常见的方法是利用系统弱点、配置错误和漏洞。提升访问级别的示例包括： • SYSTEM/根级别• 具有类似管理员访问的本地管理员 • 具有特定系统访问权限的用户帐户或执行特定功能的用户帐户这些技术通常与持久性技术重叠，因为允许对手坚持的操作系统功能可以在高架上下文中执行。

7.防御绕过

包括对手在整个妥协过程中避免被发现的技术。用于防御规避的技术包括卸载/禁用安全软件或混淆/加密数据和脚本。对手还利用和滥用值得信赖的流程来隐藏和伪装他们的恶意软件。当这些技术包括颠覆防御的额外好处时，其他战术的技术在这里被交叉列出。

8.凭据访问

凭据访问包括窃取帐户名称和密码等凭据的技术。用于获取凭据的技术包括密钥记录或凭据倾销。使用合法凭据可以使对手访问系统，使其更难检测，并提供创建更多帐户以帮助实现其目标的机会。

9.内网发现

包括对手可能用来获取有关系统和内部网络的知识的技术。这些技术帮助对手在决定如何行动之前观察环境和定位自己。他们还允许对手探索他们能够控制什么，以及他们的切入点周围是什么，以发现它如何能够有利于他们目前的目标。本机操作系统工具通常用于实现此妥协后的信息收集目标。

10.横向运动

横向运动由对手用来进入和控制网络上的远程系统的技术组成。遵循他们的主要目标往往需要探索网络，以找到他们的目标，并随后获得访问它。实现他们的目标通常涉及通过多个系统和帐户进行旋转以获得收益。对手可以安装自己的远程访问工具来完成横向移动，或者使用具有本地网络和操作系统工具的合法凭据，这些工具可能更隐秘。