文章目录

• 7.4. ​​ATT&CK
• 7.4.1. 简介
• 7.4.2. TTP
• 7.4.3. 参考链接

7.4. ​​ATT&CK

7.4.1. 简介

MITRE是美国政府资助的一家研究机构，该公司于1958年从MIT分离出来，并参与了许多商业和最高机密项目。其中包括开发FAA空中交通管制系统和AWACS机载雷达系统。MITRE在美国国家标准技术研究所（NIST）的资助下从事了大量的网络安全实践。

MITRE在2013年推出了ATT&CK™ 模型，它的全称是 Adversarial Tactics, Techniques, and Common Knowledge (ATT&CK)，它是一个站在攻击者的视角来描述攻击中各阶段用到的技术的模型。将已知攻击者行为转换为结构化列表，将这些已知的行为汇总成战术和技术，并通过几个矩阵以及结构化威胁信息表达式（STIX）、指标信息的可信自动化交换（TAXII）来表示。由于此列表相当全面地呈现了攻击者在攻击网络时所采用的行为，因此对于各种进攻性和防御性度量、表示和其他机制都非常有用。多用于模拟攻击、评估和提高防御能力、威胁情报提取和建模、威胁评估和分析。

官方对 ATT&CK的描述是：

MITRE’s Adversarial Tactics, Techniques, and Common Knowledge (ATT&CK) is a curated knowledge base and model for cyber adversary behavior, reflecting the various phases of an adversary’s attack lifecycle and the platforms they are known to target.

和Kill Chain等模型相比，ATT&CK的抽象程度会低一些，但是又比普通的利用和漏洞数据库更高。MITRE公司认为，Kill Chain在高维度理解攻击过程有帮助，但是无法有效描述对手在单个漏洞的行为。

目前ATT&CK模型分为三部分，分别是PRE-ATT&CK，ATT&CK for Enterprise（包括Linux、macOS、Windows）和ATT&CK for Mobile（包括iOS、Android），其中PRE-ATT&CK覆盖攻击链模型的前两个阶段（侦察跟踪、武器构建），ATT&CK for Enterprise覆盖攻击链的后五个阶段（载荷传递、漏洞利用、安装植入、命令与控制、目标达成），ATT&CK Matrix for Mobile主要针对移动平台。

PRE-ATT&CK包括的战术有优先级定义、选择目标、信息收集、发现脆弱点、攻击性利用开发平台、建立和维护基础设施、人员的开发、建立能力、测试能力、分段能力。

ATT&CK for Enterprise包括的战术有访问初始化、执行、常驻、提权、防御规避、访问凭证、发现、横向移动、收集、数据获取、命令和控制。

7.4.2. TTP

MITRE在定义ATT&CK时，定义了一些关键对象：组织 (Groups)、软件 (Software)、技术 (Techniques)、战术 (Tactics)。

其中组织使用战术和软件，软件实现技术，技术实现战术。例如APT28（组织）使用Mimikatz（软件）达到了获得登录凭证的效果（技术）实现了以用户权限登录的目的（战术）。整个攻击行为又被称为TTP，是战术、技术、过程的集合。

7.4.3. 参考链接

• Mitre ATT&CK
• MITRE ATT&CK：Design and Philosophy
• ATT&CK一般性学习笔记
• Cyber Threat Intelligence Repository expressed in STIX 2.0
• sigma Generic Signature Format for SIEM Systems
• caldera Automated Adversary Emulation
• RTA Red Team Automation

上一篇：7.3. 威胁情报 下一篇：7.5. 风险控制