ATT&CK

由 MITRE 公司開發的知識庫和框架,用於描述和分類網路攻擊者的策略(Tactics)、技術(Techniques)和程序(Procedures),也稱TTP。該框架於 2015 年 5 月首次向公眾展示,目前仍在持續更新中。

https://attack.mitre.org

主要矩陣

MITRE ATT&CK 框架包含多個矩陣,涵蓋不同環境的攻擊行為:

  • Enterprise:針對企業 IT 環境,包括 Windows、macOS、Linux、雲端(如 AWS、Azure、GCP)等。
  • Mobile:針對行動設備(如 iOS 和 Android)的攻擊技術。
  • ICS:針對工業控制系統和運營技術(OT)的攻擊技術。

矩陣的核心組成

MITRE ATT&CK 矩陣主要由以下幾個層次組成:

  • 策略(Tactics):描述攻擊者的目標或意圖,即「為什麼」進行某項行動。策略是高層次的攻擊目標,通常對應攻擊生命週期中的某個階段。 以Enterprise架構來說目前有14個策略。
  • 技術(Techniques):策略的具體方法描術在這,例如:
    • 在「初始訪問」策略中,技術可能包括「網路釣魚」(phishing)或「利用公開應用程式」(Exploit Public-Facing Application)。
    • 每種技術都有詳細的描述,包括其用途、執行方式以及可能的防禦措施。
  • 子技術(Sub-Techniques):對技術的更細粒度描述,進一步細分具體的實現方式。例如,網路釣魚可能細分為「附件釣魚」(Spearphishing Attachment)和「鏈接釣魚」(Spearphishing Link)等。
  • 資訊:提供Techniques的相關說明,主要包括以下
    • 描述:Techniques或Sub-Techniques的基本描述
    • 程序(Procedures):技術的具體實例,通常與特定攻擊者或惡意軟體的行為相關。例如,某個 APT 團體如何使用特定工具執行某技術。
    • 緩解方式(Mitigations):提供緩解建議
    • 偵測方式(Detection):提供偵測建議

實際範例

假設一個攻擊者試圖入侵企業網路:

  • Tactics:初始訪問(Initial Access)
  • Techniques:網路釣魚(Phishing, T1566)
  • Sub-Techniques:透過惡意附件進行釣魚(Spearphishing Attachment, T1156.001)
  • Procedures:攻擊者使用帶有惡意 Word 文档的電子郵件,誘騙用戶啟用宏,執行惡意程式碼。

企業 ATT&CK 矩陣中的 14 個攻擊者策略說明如下

Reconnaissance(偵察)

Resource Development(資源開發)

  • 說明:攻擊者準備工具、基礎設施(如域名、帳號)以支援後續攻擊。
  • 例子:購買一個與公司官網相似的釣魚網站域名,或建立用於 C2(指揮與控制)的雲端伺服器。
  • 參考資料https://attack.mitre.org/versions/v17/tactics/TA0042/

Initial Access(初始存取)

  • 說明:攻擊者首次入侵目標網路的方式,也就是取得初始立足點的技術。
  • 例子:利用針對性的魚叉式網路釣魚,或利用面向公眾的 Web 伺服器上的漏洞等方式,嘗試拿到立足點。
  • 參考資料https://attack.mitre.org/versions/v17/tactics/TA0001/

Execution(執行)

Persistence(持續性)

Privilege Escalation(權限提升)

Defense Evasion(防禦規避)

  • 說明:攻擊者試圖避免被發現,避免被防毒軟體、EDR(端點偵測與回應)或其他安全防護機制偵測。
  • 例子:將惡意程式碼進行加殼(Packing)或加密,以避開防毒偵測。
  • 參考資料https://attack.mitre.org/versions/v17/tactics/TA0005/

Credential Access(憑證存取)

Discovery(內部偵察)

Lateral Movement(橫向移動)

  • 說明:從一台受害主機訪問到內部網路的另一個系統。
  • 例子:使用遠端存取工具(例如 PsExec )將後門程式從受害者A機器推送並執行到受害者B機器。
  • 參考資料https://attack.mitre.org/versions/v17/tactics/TA0008/

Collection(資料蒐集)

Command and Control(指揮與控制,C2)

Exfiltration(資料外傳)

Impact(破壞)