ATT&CK模型
ATT&CK是分析攻击者行为(即TTPs)的威胁分析框架。ATT&CK框架核心就是以矩阵形式展现的TTPs,即Tactics, Techniques and Procedures(战术、技术及步骤),是指攻击者从踩点到获取数据以及这一过程中的每一步是“如何”完成任务的。
ATT&CK模型分为三部分,分别是PRE-ATT&CK,ATT&CK for Enterprise和ATT&CK for Mobile。
目前只学习ATT&CK for Enterprise部分。
ATT&CK导航器 https://mitre-attack.github.io/attack-navigator/enterpris
其中,该框架囊括12类战术。
Initial Access 初始访问
Execution 执行
Persistence 持久化
Privilege Escalation 权限提升
Defense Evasion 防御逃逸
Credential Access 凭证获取
Discovery 发现
Lateral Movement 横向移动
Collection 收集
Command and Control 命令与控制
Exfiltration 数据渗出
Impact 影响
除了12种战术,还包括330种在相应战术中应用的具体技术。框架中的战术使用没有严格的顺序,实际中,可灵活组合,基于此框架自定义攻击者入侵的行为模型。
横轴是战术(Tactic),攻击行为的目标。
纵轴是技术(Technique),为完成战术目标使用的具体手法 。
过程(Procedure),完成技术手法的具体实现。
关于技术细节的描述:
https://attack.mitre.org/techniques/enterprise/
参考链接:
https://attack.mitre.org/matrices/pre/
https://mitre-attack.github.io/attack-navigator/enterprise/
https://www.anquanke.com/post/id/187998
https://mp.weixin.qq.com/s/qfthyNQ3E_TruEbREcIJzg