半天学会战术软件(新版ATTCK：框架逻辑、利用、最常用战术，读这篇就够了)

MITRE ATT&CK 框架是2013年在非营利组织 MITRE 公司的米德堡实验中诞生。研究人员模拟攻防双方行为，通过遥测传感与行为分析改善失陷威胁检测，开发了 ATT&CK 框架（即 Adversarial Tactics, Techniques, and Common Knowledge），作为分析对手的工具。

今年10 月，ATT&CK更新至第10个版本。新版本最大变化是在企业技术领域ATT&CK中，添加了一组新的数据源和数据组件对象，从而补充ATT&CK v9 版本中ATT&CK 数据源名称的更改。本期推荐的这篇文章，涵盖了MITRE ATT&CK 框架逻辑、如何使用，以及近期攻击者最常用技战术，文章较长，建议收藏阅读。

01

MITRE ATT&CK框架

MITRE ATT&CK框架作为一个综合性知识库，通过对攻击生命周期各阶段的实际观察，从而对攻击者行为进行理解与分类，涵盖各APT组织实施的恶意行为。随着厂商及企业对框架的采用，以及框架本身不断调整，MITRE ATT&CK已被公认为了解攻击者对企业使用的行为模型与技术权威。

MITRE ATT&CK框架基础元素为战术、技术和程序，也就是TTPs（ Tactics, Techniques and Procedures）。战术回答了攻击者想要实现的目标；技术或子技术展示了攻击者实际的攻击方式以及目标如何实现；至于程序，框架解决的是威胁行为者与攻击组织为达到目标所使用技术的特定应用。此外，MITRE ATT&CK框架也涵盖了威胁检测与处置建议，以及攻击中使用的软件。具体而言，MITRE给出了3个单独矩阵，来应对不同的攻击环境，分别是：

• 企业技术领域 ATT&CK

该矩阵适用Windows、macOS、Linux、云（Azure AD、Office 365、谷歌Workspace、SaaS、IaaS)、网络和容器环境。同时，该矩阵还包括一个攻击者准备阶段的技术的“PRE”子部分。

• 移动设备ATT&CK

涵盖无移动设备访问权限却访问移动设备的战术与技术，包括与Android和iOS平台相关的信息。

• 工控系统（ICS）领域ATT&CK

包括了工业控制系统（ICS）环境中攻击者可能采取行动的知识库。

由于企业技术领域涉及更多更广，这篇文章我们会重点关注该领域。

MITRE ATT&CK企业技术领域矩阵

02

MITRE ATT&CK 战术与技术

所谓MITRE ATT&CK的战术，是攻击者希望通过技术实现的目标，每个目标都包含了攻击者被实际观察使用的特定技术。这些战术都是以线性方式呈现，从情报收集一直到渗漏及影响，但不必按照该顺序使用，因为MITRE也并未提出特定的顺序。目前，MITRE已经识别的企业领域攻击战术有14种：

侦察：这是攻击者尝试通过尽可能多获取关于目标的信息，从而利用目标的初始阶段。该战术可以让攻击者发现有关目标网络的关键细节，比如系统漏洞和潜在的攻击媒介；

资源开发：攻击者建立资源以开展活动的一种攻击战术，例如获取所需的基础设施、开发能力以及破坏帐户与基础设施；

初始访问：解决攻击者用来在网络中获得初始据点的各种入口载体，比如鱼叉式网络钓鱼、公开的应用程序漏洞、供应链失陷等；

执行：涵盖实现在目标系统上运行攻击者控制的恶意代码或者远程访问工具的技术，通常与其他战术中的技术结合，从而在更广范围内实现目标；

维持：该战术中包括攻击者用来保持对目标系统访问的技术，因为攻击者会面对重新启动或者凭据更改等活动切断访问的情况；

权限提升：涵盖攻击者用来在系统或网络上获得更高级别权限和访问权限的技术和活动，实现这一目标的技术包括利用系统错误配置及漏洞；

防御规避：这是攻击者通过使用最独特的技术，来避免在整个入侵过程中被检测到的一个目标，它包括的技术有禁用安全控制和混淆数据；

凭证访问：由于合法凭证可以让攻击者访问更多系统并使他们更难被发现，所以这个战术的目标是使用暴力攻击、键盘记录和凭证倾销等技术来窃取凭证；

发现：该战术描述了攻击者用来获取有关内部网络的知识的技术，以便观察环境并决定下一步入侵；

横向移动：包括从网络上某个受感染系统移动到另一个系统的过程，作为获取更多信息，扩大占领网络区域的一种手段；

收集：该战术涵盖了攻击者用来收集与实现其目标相关的信息及信息来源的技术，常见的信息源包括浏览器、音频、视频以及电子邮件，实现该战术的常用技术是中间人攻击；

命令与控制：这属于攻击者尝试与目标网络上受其控制的系统进行通信的阶段，采用的技术包括数据混淆、协议隧道和流量信号；

渗漏：该战术处于攻击周期的收尾阶段，包括攻击者用来从目标网络窃取数据，同时通过压缩和加密避免检测的技术。从网络中窃取数据的常用技术，是通过命令和控制通道传输数据；

影响：攻击者为实现最终目标而使用的技术，例如破坏可用性或损害敏感数据和目标操作的完整性。

MITRE ATT&CK企业技术领域矩阵中的14种战术，每一种都包含了广泛的技术，并且都是根据攻击者在破坏企业或政府部门网络时使用过而观察到的。虽然战术只有14种，但技术达200多种，每种技术在MITRE ATT&CK中又以子技术形式进一步分析与解释，数量达到近500种。

具体而言，MITRE ATT&CK框架对每项技术都提供了特定的信息，这里也做一个简单的介绍：

• 技术ID：以“Txxx”格式呈现的标识符：例如，网络钓鱼为T1566，沙箱规避为T1497；
• 子技术：是更具体的技术，或攻击者执行技术的不同方式；
• 战术：即该技术的目标；
• 平台：是该技术适用的不同平台，例如Windows、Linux、macOS、云等等；
• 数据源：可以识别技术的信息来源，通常由日志系统收集；
• 程序：威胁组织使用该技术达到其目标的具体方式。
• 缓解：该技术的处置和防御策略；
• 检测：检测网络中攻击者和失陷指标 (IoC) 的方法。

攻击者通常会使用多种技术，来实现其总体目标，而一种技术也可用于实现多个目标。例如，中间人攻击就能用于收集信息和凭证访问，沙箱规避能够用于规避，也可用于发现目标。

03

MITRE ATT&CK框架的利用

对于企业而言，MITRE ATT&CK支持攻击者模拟，改进威胁搜寻，能够丰富SOC的网络威胁情报源，为网络安全策略提供数据驱动的决策依据，并且通常与端点检测与响应（EDR）以及安全信息和事件管理（SIEM）等工具集成，例如微步在线主机威胁检测与响应平台OneEDR针对Linux环境，具备80%的ATT&CK覆盖率及自研规则，能够全面准确检测入侵行为。对于MITRE ATT&CK框架，企业可在以下方面加以应用：

• 网络威胁情报

网络威胁情报的价值在于让企业了解网络之外正在发生的情况，提高对网络威胁的可见性，从而有效检测和应对威胁。而在系统破坏进一步发生前，企业可以利用不同来源的IoCs来映射攻击者TTP，并预测其在攻击期间的行为。通过MITRE ATT&CK框架能够保证企业安全团队获得需要检测潜在攻击所需的信息，从而主动采取行动。

• 威胁狩猎

利用MITRE ATT&CK框架的另一个领域是威胁狩猎。ATT&CK分类法能够基于攻击者TTP知识库，收集和过滤信息，有效检测恶意活动。使用ATT&CK，安全人员可以利用经验驱动的用例来检测网络活动或其余攻击活动，促进搜寻过程。

• 风险管理

通过由MITRE ATT&CK产生的知识和数据，企业可借此衡量自身现有能力，并根据检测到的防御覆盖差距，证明日常的安全培训与投资的合理性。

• 合规管控测试

可以利用MITRE ATT&CK，帮助企业对其安全控制和措施进行测试，将其映射到攻击中使用的特征与技术，从而评估企业当前安全是否符合法规要求。

• 商业安全解决方案评估

MITRE从2018年以来，就一直使用ATT&CK框架来评估各种安全产品的性能，并且对不同厂商在ATT&CK知识库中检测和响应当年真实威胁行为者和攻击组织的能力，会发布年度性MITRE ATT&CK评估。所以，MITRE ATT&CK可以作为企业评估安全产品的一个重要维度。

• 攻击者模拟与红队行动组织

ATT&CK属于攻击过程的攻击视角，所以最常见的用例是攻击者模拟，或者红队行动组织。利用ATT&CK红队TTPs提供的情报，可以创建相关的攻击对手仿真，从而测试和验证企业的防御，也可以展示网络攻击和各种攻击者技术的影响。

• 明确防御差距

出现重大威胁状况变化时，ATT&CK框架会进行更新，通常是每季度一次。所以，企业可以通过ATT&CK框架来评估自身的防御能力、安全工具及安全可见性。通过评估一个组织的网络安全态势的所有这些要素，ATT&CK提供了识别差距的能力，从而采用适当的措施和安全工具。

这里，整体以一个勒索软件攻击为例。如果企业极易受到勒索软件的影响，那就可以查看勒索软件及其在Mitre ATT&CK框架中的部署方式，以及勒索软件是如何在整个网络中移动，然后采取行动集中防御和监控，从而在该类攻击进入时快速检测或进行阻止。也就是说，Mitre ATT&CK能够帮助企业提供风险路线图之间的差距，告诉企业需要保护哪些地方。

04

常用的MITRE ATT&CK技战术

根据安全机构vFeed编制的一份2020十大最常用MITRE ATT&CK技战术列表发现，攻击者使用最多的战术为防御绕过。如果将该最常用的技战术与2020年被利用最多的10个漏洞进行映射，发现70%的常见漏洞与ATT&CK MITRE常用技战术存在直接关联。并且根据该ATT&CK技战术列表，文件系统访问控制与系统访问控制是被绕过最多的防御控制。这就意味着，对基础网络设施的加固与修复应该成为企业的一个重点。

虽然网络安全框架经常被认为只是一种理论模型，但MITRE ATT&CK相比之下更实际，它是网络入侵与攻击者行为的真实展现，非常详尽地展示了攻击者如何攻击。这也是利用MITRE ATT&CK框架的最大好处，能够真正了解攻击者及其运作方式，如何进入企业网络，如何执行各种目标经历的各个步骤。

不知攻，焉知防。尽可能学会利用这些框架，提前掌握攻击者的弱点，发现对方并最终阻止攻击成功，也是企业安全团队的必备功课之一。也只有更了解攻击者，才能更好地发现自身弱点，保护企业网络安全。