ATT&CK

由 MITRE 公司開發的知識庫和框架，用於描述和分類網路攻擊者的策略（Tactics）、技術（Techniques）和程序（Procedures），也稱TTP。該框架於 2015 年 5 月首次向公眾展示，目前仍在持續更新中。

https://attack.mitre.org

主要矩陣

MITRE ATT&CK 框架包含多個矩陣，涵蓋不同環境的攻擊行為：

• Enterprise：針對企業 IT 環境，包括 Windows、macOS、Linux、雲端（如 AWS、Azure、GCP）等。
• Mobile：針對行動設備（如 iOS 和 Android）的攻擊技術。
• ICS：針對工業控制系統和運營技術（OT）的攻擊技術。

矩陣的核心組成

MITRE ATT&CK 矩陣主要由以下幾個層次組成：

• 策略（Tactics）：描述攻擊者的目標或意圖，即「為什麼」進行某項行動。策略是高層次的攻擊目標，通常對應攻擊生命週期中的某個階段。 以Enterprise架構來說目前有14個策略。
• 技術（Techniques）：策略的具體方法描術在這，例如：
  • 在「初始訪問」策略中，技術可能包括「網路釣魚」（phishing）或「利用公開應用程式」（Exploit Public-Facing Application）。
  • 每種技術都有詳細的描述，包括其用途、執行方式以及可能的防禦措施。
• 子技術（Sub-Techniques）：對技術的更細粒度描述，進一步細分具體的實現方式。例如，網路釣魚可能細分為「附件釣魚」（Spearphishing Attachment）和「鏈接釣魚」（Spearphishing Link）等。
• 資訊：提供Techniques的相關說明，主要包括以下
  • 描述：Techniques或Sub-Techniques的基本描述
  • 程序（Procedures）：技術的具體實例，通常與特定攻擊者或惡意軟體的行為相關。例如，某個 APT 團體如何使用特定工具執行某技術。
  • 緩解方式（Mitigations）：提供緩解建議
  • 偵測方式（Detection）：提供偵測建議

實際範例

假設一個攻擊者試圖入侵企業網路：

• Tactics：初始訪問（Initial Access）
• Techniques：網路釣魚（Phishing, T1566）
• Sub-Techniques：透過惡意附件進行釣魚（Spearphishing Attachment, T1156.001）
• Procedures：攻擊者使用帶有惡意 Word 文档的電子郵件，誘騙用戶啟用宏，執行惡意程式碼。

---

企業 ATT&CK 矩陣中的 14 個攻擊者策略說明如下

Reconnaissance（偵察）

• 說明：攻擊者蒐集目標資訊的階段。
• 例子：攻擊者可能會掃描受害者的 IP 位址區塊，以收集可用於定位的資訊，並尋找可用於攻擊的漏洞等
• 參考資料：https://attack.mitre.org/versions/v17/tactics/TA0043/

Resource Development（資源開發）

• 說明：攻擊者準備工具、基礎設施（如域名、帳號）以支援後續攻擊。
• 例子：購買一個與公司官網相似的釣魚網站域名，或建立用於 C2（指揮與控制）的雲端伺服器。
• 參考資料：https://attack.mitre.org/versions/v17/tactics/TA0042/

Initial Access（初始存取）

• 說明：攻擊者首次入侵目標網路的方式，也就是取得初始立足點的技術。
• 例子：利用針對性的魚叉式網路釣魚，或利用面向公眾的 Web 伺服器上的漏洞等方式，嘗試拿到立足點。
• 參考資料：https://attack.mitre.org/versions/v17/tactics/TA0001/

Execution（執行）

• 說明：在受害主機上執行惡意程式碼的行為。
• 例子：透過 PowerShell 腳本在受害者電腦上下載並執行惡意程式。
• 參考資料：https://attack.mitre.org/versions/v17/tactics/TA0002/

Persistence（持續性）

• 說明：攻擊者試圖確保下次還能訪問受害系統
• 例子：在系統中建立一個後門，確保每次主機重開機或漏洞被修補後還能訪問受害者的系統。
• 參考資料：https://attack.mitre.org/versions/v17/tactics/TA0003/

Privilege Escalation（權限提升）

• 說明：從低權限帳號提升為高權限（如系統管理員）。
• 例子：利用已知的漏洞來取得系統權限。
• 參考資料：https://attack.mitre.org/versions/v17/tactics/TA0004/

Defense Evasion（防禦規避）

• 說明：攻擊者試圖避免被發現，避免被防毒軟體、EDR（端點偵測與回應）或其他安全防護機制偵測。
• 例子：將惡意程式碼進行加殼（Packing）或加密，以避開防毒偵測。
• 參考資料：https://attack.mitre.org/versions/v17/tactics/TA0005/

Credential Access（憑證存取）

• 說明：竊取帳號密碼或其他認證資訊。
• 例子：利用 Mimikatz 工具從記憶體中擷取 Windows 登入憑證。
• 參考資料：https://attack.mitre.org/versions/v17/tactics/TA0006/

Discovery（內部偵察）

• 說明：攻擊者在進入系統後，進行內網探索與資訊蒐集。
• 例子：執行 net view /domain 指令列出公司網域內的所有電腦名稱。
• 參考資料：https://attack.mitre.org/versions/v17/tactics/TA0007/

Lateral Movement（橫向移動）

• 說明：從一台受害主機訪問到內部網路的另一個系統。
• 例子：使用遠端存取工具（例如 PsExec ）將後門程式從受害者A機器推送並執行到受害者B機器。
• 參考資料：https://attack.mitre.org/versions/v17/tactics/TA0008/

Collection（資料蒐集）

• 說明：收集目標機敏資料。
• 例子：尋找並打包重要文件與財務報表，個資，系統敏感資訊，程式碼等。
• 參考資料：https://attack.mitre.org/versions/v17/tactics/TA0009/

Command and Control（指揮與控制，C2）

• 說明：攻擊者與受感染系統建立遠端控制的權限。
• 例子：攻擊者控制C2伺服器以 HTTPS 隱蔽通訊連線到受害主機。
• 參考資料：https://attack.mitre.org/versions/v17/tactics/TA0011/

Exfiltration（資料外傳）

• 說明：將機密資料從目標網路傳送到攻擊者指定位置。
• 例子：透過 Dropbox API 上傳竊取的文件到攻擊者的雲端帳戶。
• 參考資料：https://attack.mitre.org/versions/v17/tactics/TA0010/

Impact（破壞）

• 說明：攻擊者對目標系統、資料、營運造成實質破壞。
• 例子：發動勒索軟體攻擊，將公司檔案加密並要求贖金。
• 參考資料：https://attack.mitre.org/versions/v17/tactics/TA0040/