初识ATT&CK

最新推荐文章于 2025-09-16 19:47:27 发布
原创 最新推荐文章于 2025-09-16 19:47:27 发布 · 3k 阅读 · 23 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了ATT&CK模型的起源、核心概念及对安全分析的贡献。ATT&CK作为对抗战术、技术和常识的汇总,弥补了传统IOC无法描述攻击过程的不足,提供了上下文信息和统一标准。文章还探讨了ATT&CK在态势感知中的作用,以及与杀伤链模型的关联,为安全策略制定提供有效支持。

初识ATT&CK框架

前言:

ATT&CK这一概念自2014年提出时起,作为安全分析领域中的前沿研究一直在默默地发挥着自己的影响,但是由于其概念在当时过于超前以至于并没有引起多大反响,直至2019年的红蓝对抗赛这才把ATT&CK框架重新推回到了安全圈的C位上,接下来的三期内容,美创安全实验室将为大家带来ATT&CK模型的独家解读,好了,废话不多说Let‘s go!

但是要是想完全弄懂ATT&CK模型到底是什么,那么有一个相关概念以及问题必须要先弄懂。还请大家耐心看完。

什么是威胁情报?
威胁情报又称IOC(Indicator of compromise)。一般为网络流量中或者操作系统上观察到的能高度表明计算机被入侵的痕迹,例如某某病毒的Hash值、C&C服务器的IP地址等等。简单来说,威胁情报就像是当计算机被入侵时所表现出来的某种特征,我们将这些威胁情报搜集起来整理成库,当计算机再次表现出库中的某些特征的时候我们就可确定计算机已经被入侵了,这样我们可以制定更好的安全策略来规避以上问题。

那么是不是只要有足够的 IOC,我们就可以规避所有风险?
众所周知,在网络安全领域中白帽子相比于黑帽子来说是处于弱势的一方,那么造成这种“安全难做”情况的根本原因在于攻守双方的信息不对称。但是当白帽子掌握了足够多的IOC之后是否能守住黑客的所有攻击呢,答案当然是不可能的。即使白客拥有某黑客之前攻击产生的所有IOC,但是当黑客随便更改一下IP地址或者域名就可以产生新的IOC,且成本低廉。如果不知道黑客的攻击手法或者入侵行为仅靠IOC的信息量,并不能规避所有的风险。

Ok,现在我们得到结论:IOC能够帮助我们指定更好的安全策略,而且IOC信息量的多少也能影响最终防护效果,但IOC并不能表达攻击者如何与受害系统交互,且只能表示是否受害而无法体现其过程。 因此,为了解决上述问题,ATT&am

最低0.47元/天 解锁文章
[网络安全自学篇] 七十七.恶意代码与APT攻击中的武器
杨秀璋的专栏
05-14 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了逆向分析之OllyDbg动态调试工具,包括INT3断点、反调试、硬件断点和内存断点。这篇文章将带大家学习安天科技集团首席架构师肖新光老师(Seak)的分享,介绍恶意代码与APT攻击中的武器,包括A2PT的攻击武器、普通APT组织的自研恶意代码、商用恶意代码、无恶意代码作业、开源和免费工具等。作者很少会在标题写“强推”的字样,但这篇文章真的值得学习,也希望对您有所帮助。
[系统安全] 六十二.恶意软件分析 (13)LLM赋能实现基于机器学习的恶意家族分类(初探)
杨秀璋的专栏
02-02 1425
前文探索了利用大模型辅助恶意代码分析,即LLM赋能Lark工具提取XLM代码的抽象语法树。这篇文章将继续尝试探索利用大模型辅助恶意代码分析,尝试进行恶意代码家族分类实验。在恶意代码分析过程中,大家会遇到各种各样的问题,如何结合LLM和GPT完成复杂任务,更好地为安全工程师合作至关重要。基础性探索文章,还请各位大佬多多指教,写得不足的地方还请海涵。希望您喜欢,且看且珍惜。
ATT & CK 阶段之Execution -- WMI
sojrs_sec的博客
05-09 766
WMI简介 Windows Management Instrumentation:是Windows管理功能,主要是为本地和远程访问Windows系统组件提供环境。依靠于Wmi服务进行本地或远程访问,同时需要SMB及RPCS(135端口)进行远程访问。攻击者通过WMI可以进行远程交互,用于后续渗透的信息收集或远程执行命令。 缓解措施 特权账号管理,防止系统账号和特权账号凭证相同 用户账号管理:默认只有管理员账号才可以通过WMI远程连接。可严格控制所有用户无法通过WMI远程连接 检测方式 网络监控:监控使
什么是ATT&CK
qq_44833342的博客
05-29 624
ATT&CK框架将这些攻击方法按照攻击者的行为分为不同的阶段,包括初始访问、执行、持久化、凭证访问、发现、横向移动、收集、指令与控制与漏洞利用等。通过使用ATT&CK框架,安全专业人员可以更好地了解黑客攻击的行为模式,并采取相应的防御措施,以保护企业和组织的网络和系统安全。开源框架,用于描述和分类黑客攻击的战术、技术和常见知识。该框架包含了各种攻击者可能使用的技术和方法,包括渗透测试、间谍活动、勒索软件和其他恶意软件攻击等。
ATT&CK
最新发布
2301_78043557的博客
09-16 1105
MITRE ATT&CK 不是一个标准,而是一个知识框架。它本身不能直接帮你防御,但它为你提供了思考的框架、交流的语言和行动的路线图。它让防御者能够站在攻击者的角度思考问题,从而构建出更加有效和全面的防御体系。它是现代网络安全领域的基石之一。
att&ck是什么,特点是啥
gofreshman的博客
09-30 1万+
att&ck相关文献阅读笔记 ATT&CK是由MITRE创建并维护的一个对抗战术和技术的知识库,全称 Adversarial Tactics, Techniques, and Common Knowledge, 简称ATT&CK。这个知识库是由社区驱动的,并且是公开免费、全球可访问的知识库。 ATTCK是针对网络攻击行为的精选知识库和模型,反映了攻击者攻击生命周期以及各个攻击阶段的目标,由以下核心组件组成: 战术(Tactics):表示攻击过程中的短期战术目标; 技术(Techni
ATT&CK框架
热门推荐
qq_40216188的博客
02-28 2万+
ATT&CK框架一、ATT&CK框架1.1、侦查Reconnaissance-包含10项技术1.2、资源开发Resource Development-包含6项技术1.3、初始访问Initial Access-包含9项技术 一、ATT&CK框架 序号 战术 战术功能 1 侦察 信息收集 2 资源开发 建立攻击者行动所需资源 3 初始访问 进入目标网络,获取一个入口 4 执行 运行恶意代码 5 持久化 保持攻击立足点 6 权限提升 获取最高权限 7
ATT&CK初步了解
博客地址 www.sec0nd.top
07-27 1297
ATT&CK起源于一个项目,该项目记录并分类了入侵后针对微软Windows系统的对手战术、技术和程序(TTPs),以提高对恶意行为的检测。后来它发展到包括Linux和macOS,并扩大到涵盖导致环境妥协的行为,以及技术重点领域,如移动设备、基于云的系统和工业控制系统。MITREATT&CK是一个针对网络对手行为的精心策划的知识库和模型,反映了对手攻击生命周期的各个阶段以及他们已知的目标平台。红队、紫队和渗透测试活动的规划、执行和报告可以使用ATTCK,以便防御者和报告接收者以及其内部之间有一个通用语言。.
[系统安全] 四十九.恶意软件分析 (5)Cape沙箱分析结果Report报告的API序列批量提取详解
杨秀璋的专栏
04-11 3780
系统安全将更好地帮助初学者了解病毒逆向分析和系统安全。前文详细介绍Cape沙箱批量分析,通过调用Python脚本文件submit.py来实施批量处理。这篇文章将讲解如何将Cape沙箱分析结果Report报告的API序列批量提取,主要是提取Json文件的内容并存储至指定位置。基础性文章,希望对您有帮助,如果存在错误或不足之处,还请海涵。且看且珍惜!
[系统安全] 五十八.恶意软件分析 (10)利用火绒安全实现恶意样本家族批量标注(含学术探讨)
杨秀璋的专栏
04-26 1132
前文介绍了利用MS Defender实现恶意样本家族批量标注。这篇文章将讲解如何利用火绒实现恶意样本家族批量标注,在通过VS、VT采集批量样本后,通常需要样本家族标注,如何准确识别家族类别至关重要,其将为后续的恶意软件家族分类或溯源提供帮助。在此感谢李师弟热心的指导和帮助,基础性基础,希望您喜欢,且看且珍惜。
ATT&CK使用(中文翻译文档)
lazy_LYF的博客
12-13 1944
本文档描述了如何从这个仓库或 ATT&CK TAXII 服务器查询和操作 ATT&CK 数据,以及数据本身的格式。本文档中演示的 ATT&CK 的编程使用了stix2 python 库。有关如何以编程方式使用 STIX 的更多信息,请参阅STIX2 Python API 文档。另请参阅要求和引入部分.本文档描述了 ATT&CK 如何实现和扩展 STIX 格式。要了解有关 STIX 的更多信息,请参阅STIX 2.0 网站.同时建议阅读,其中描述了 ATT&CK 的高级整体方法、意图和用法。
ATT&CK】简介
吉吉的博客
08-22 3662
ATT&CK 模型简介,相关知识,应用场景,攻击者和防守方的利用
ATT & CK 阶段之 Execution -- CMSTP
sojrs_sec的博客
05-09 1752
前言 ATT&CK 阶段之Executon即执行:当黑客入侵成功之后,往往会通过一系列的命令去获取信息、创建持续性会话。本文主要讲解通过cmstp.exe命令执行,调用恶意的dll或者com脚本(sct)。这种方式可以绕过applocker或者其他白名单的防御方式以及UAC. cmstp基本命令使用 cmstp.exe /s /ns C:\Users\ADMINI~W\AppData\Local\Temp\XKNqbpzl.txt 在cmd中执行cmstp.exe -h 安装配置 cmstp.e
ATT&CK 框架讲解
土豆的博客
10-21 2294
通过将ATT&CK的攻击技术与D3FEND的防御技术进行映射和关联,安全团队可以更加全面地了解攻击与防御之间的对应关系,从而制定更加有效的防御策略。通过结合ATT&CK框架与智能化响应技术,安全团队可以构建自动化的响应流程,根据攻击行为的特征和严重程度,自动选择和执行相应的响应措施。同时,基于ATT&CK框架的自动化和智能化技术还可以帮助组织评估自身的安全状况,发现潜在的安全漏洞和弱点,并提供针对性的改进建议。这些模块的引入,不仅丰富了框架的内容,也提升了其在实际应用中的针对性和实用性。
att ck 中文_MITRE | ATT&CK 中文站 [ 欢迎~ ]
weixin_33474071的博客
01-30 2319
所谓MITRE ATT&CK 暂且可以把它简单的理解成实战[ 偏 APT方向 ]攻防对抗 "矩阵"[ 或者叫知识库更贴切些 ],上面会不定时更新一些最新的关于APT方向的攻击利用技术[当然啦,网站本身远不止这些东西 ],可能也是由于各种各样的原因吧,上面针对各个技术点的介绍显得非常粗略 [ 不过话说回来,粗糙时粗糙了点,但却无意中确实也提供了很多的很好的可以继续深度利用...
ATT & CK 阶段之Persistence -- Scheduled Task
sojrs_sec的博客
05-12 766
前言 在黑客攻击某台机器之后,为了防止会话中断而失去机器的控制权限,黑客常会通过计划任务的手段来维持自身的权限。在Windows系统中,常通过at;schtasks进行设置。 常见攻击方式 at schtasks cron 缓解方式 审计 系统配置,禁用system权限执行计划任务 授权账号管理。只允许管理员相关用户配置计划任务 检测方式 监控相关进程的执行和命令行参数。如win10监控svchost.exe,而更早版本的使用taskeng.exe,计划任务存储在%systemroot%\Syste
ATT&CK 随笔系列之一:右脑知攻、左脑知防
xhlylxhl的博客
09-29 1829
作者:余凯@瀚思科技副总裁 2019 年相当不太平,除了全球贸易战,安全行业也暗潮涌动。上月底,Gartner WEB 应用防火墙 (WAF) 魔力象限领导者 之一某企业a 承认遭到黑客入侵【1】,该企业 一直宣称其核心能力和使命是保护客户的应用和数据安全,入侵事件的发生貌似尴尬。然而今年 5 月,国外主流媒体报道【2】全球排名前三安全厂商悉数被黑客组织 Fxmsp 攻破,源代码遭到泄漏。时...
网络安全框架:ATT&CK框架介绍、结构、应用和未来发展趋势
SteveRocket's-Blog
05-12 2984
ATT&CK(Adversarial Tactics, Techniques, and Common Knowledge)框架是一种用于描述和分类攻击者行为的结构化方法。该框架由MITRE公司开发,旨在帮助安全团队更好地理解和应对威胁行为。本文将详细介绍ATT&CK框架的起源、结构、应用和未来发展趋势。” ATT&CK框架的起源 ATT&CK框架最初由美国国防部的研究人员在2001年开发,用于描述和分类网络攻击的方式和技术。随着时间的推移,该框架逐渐被广泛使用,并在2013年由MITRE公司接管管理
ATT&CK(三)之ATT&CK的十四个战术
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
06-28 4063
ATT&CK矩阵从2018年的v8版本开始,战术阶段增加到14个战术(Tactics)阶段,此前为12个战术阶段,多增加了“侦查”、“资源建立”2个战术,以及“初始访问”、“执行”、“持久化”、“提权”、“防御绕过”、“凭据访问”、“发现”、“横向移动”、“收集”、“命令与控制”、“数据泄露”、“影响”12个战术。其中前面2个战术指的是PRE-ATT&CK阶段,后面12个战术指的是ATT&CK阶段。下图是v7版本的12个战术阶段下图是v12版本的14个战术阶段。
att&ck
07-22
MITRE ATT&CK框架是一个基于观察到的攻击行为的知识库,它将攻击生命周期中的不同阶段分类为战术和技术。这个框架最初是为了帮助防御者更好地理解攻击者的行为模式而设计的,但它也被广泛应用于红队演练、攻击模拟以及安全产品测试中[^1]。 ### 框架概述 MITRE ATT&CK框架分为几个主要部分,其中企业战术(Enterprise Tactics)是最广为人知的部分之一,它涵盖了从初始访问到命令与控制等多个阶段的技术分类。每个战术类别下都有具体的技术条目,这些条目描述了攻击者可能使用的具体方法。 例如,在“执行”战术中,可以找到诸如“用户执行”、“命令和脚本解释器”等技术,这些都是攻击者用来在受感染系统上运行恶意代码的方法。 ### 使用场景 MITRE ATT&CK框架的应用场景非常广泛,包括但不限于: - **红队演练**:红队可以利用ATT&CK框架来规划他们的攻击路径,确保他们的行动尽可能贴近真实的威胁行为者。 - **防御策略制定**:通过了解ATT&CK框架中的技术和战术,组织可以更好地识别其网络中的潜在弱点,并据此调整其防御措施。 - **安全评估与测试**:安全团队可以使用ATT&CK框架来评估其检测和响应能力的有效性,确保能够识别并应对基于框架中列出的技术的攻击。 ### 示例代码 为了展示如何与MITRE ATT&CK框架交互,我们可以使用Python来查询MITRE ATT&CK的知识库。这里有一个简单的例子,展示如何使用`stix2`库来创建一个STIX对象,这通常用于表示网络威胁情报信息。 ```python from stix2 import AttackPattern, Relationship # 创建一个ATT&CK技术的STIX对象 attack_pattern = AttackPattern( name="Phishing", description="通过欺骗性电子邮件或其他消息诱导用户泄露敏感信息。", external_references=[ { "source_name": "mitre-attack", "url": "https://attack.mitre.org/techniques/T1566/", "external_id": "T1566" } ] ) # 创建一个关系对象,表示该技术属于某个战术 relationship = Relationship( relationship_type="uses", source_ref=attack_pattern.id, target_ref="intrusion-set--some-attack-group-id" ) # 输出创建的对象 print(attack_pattern) print(relationship) ``` 请注意,上述代码仅作为示例,并未实际连接MITRE ATT&CK数据库或执行任何网络请求。 ###
评论 2
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值