大家好，我是AI拉呱，一个专注于人工智领域与网络安全方面的博主，现任资深算法研究员一职，热爱机器学习和深度学习算法应用，拥有丰富的AI项目经验，希望和你一起成长交流。关注AI拉呱一起学习更多AI知识。

ATT*CK的核心组件定义

1. IOC威胁情报

含义:一般为网络流量中或者操作系统上观察到的能高度表明计算机被入侵的痕迹.将这些特征收集整理为库,下次再表现如此特征就确定计算机已经被入侵了.

2. ATT*CK是什么

ATTCK是MITRE公司在2013年推出的.将已知攻击者行为转化为结构化列表,将这些已知的行为汇总成为战术和技术.ATT*CK中文名称为"对抗战术,技术和常识".

2.1 ATTck的核心组件

1. 战术（Tactics）描述攻击者在不同阶段的目标，例如：
2. 侦察（Reconnaissance）：收集目标信息
3. 初始访问（Initial Access）：获取网络入口（如钓鱼攻击）
4. 横向移动（Lateral Movement）：在内网扩散控制权共包含14个标准战术，覆盖从前期准备到攻击后影响的完整生命周期。
5. 技术（Techniques）实现战术的具体手段，例如：
6. T1566（网络钓鱼）：通过伪造邮件或链接诱导受害者；
7. T1059（命令与脚本解释器）：利用PowerShell等工具执行恶意代码。每种技术附带详细描述、检测方法及缓解措施。
8. 子技术（Sub-Techniques）对技术的进一步细化，例如权限提升技术（T1068）可能涉及漏洞利用或配置滥用。
9. 案例与数据（Procedures & References）基于真实攻击事件的技术实例（如APT组织攻击手法）及数据来源（如CVE、开源情报

2.2 ATTCK的矩阵模型组成

1. 企业版矩阵（Enterprise Matrix）覆盖Windows、Linux、云环境等平台，包含14个战术和数百项技术，适用于企业级攻防场景。:攻击时的部分已知技术手段,例如访问初始化、执行、常驻、提权、防御规避、访问凭证、发现、横向移动、收集、数据获取、命令和控制等。
2. 移动版矩阵（Mobile Matrix）针对iOS、Android等移动端攻击行为设计，涵盖设备越狱、恶意应用等技术。移动端的部分已知技术手段、移动框架和 Enterprise类似，只是适用的平台不同。
3. PRE-ATT&CK专注于攻击前阶段，包括目标选择、漏洞开发、基础设施搭建等.攻击前的准备，例如优先级定义、目标选择、信息收集、发现脆弱点、攻击性利用开发平台，建立和维护基础设施、人员的开发、建立能力和分段能力等。

2.3 14项战术

1. 侦察（Reconnaissance）

攻击者主动或被动收集目标信息（如组织架构、基础设施、员工信息），为后续攻击规划提供依据。

2. 资源开发（Resource Development）

建立攻击所需的资源，包括基础设施（如域名、服务器）、账户（如伪造的社交媒体账号）或恶意功能（如定制化工具）。

3. 初始访问（Initial Access）

通过漏洞利用、钓鱼邮件等手段在目标网络中建立初始立足点，例如利用鱼叉式钓鱼附件或供应链攻击。

4. 执行（Execution）

运行恶意代码或命令，例如通过命令行、PowerShell脚本或利用软件漏洞执行攻击者控制的代码。

5. 持久化（Persistence）

维持对系统的长期控制，例如通过注册表修改、启动项植入或后门程序，确保攻击者在系统重启后仍能保持访问。

6. 权限提升（Privilege Escalation）

获取更高权限（如系统管理员权限），通常通过利用系统漏洞或配置错误实现。

7. 防御绕过（Defense Evasion）

规避安全检测机制，例如禁用杀毒软件、混淆代码、利用可信进程伪装恶意行为。

8. 凭证访问（Credential Access）

窃取账户凭证（如密码哈希、明文密码），常见技术包括凭证转储、暴力破解或钓鱼攻击。

9. 发现（Discovery）

探测目标环境信息（如网络拓扑、系统配置），为横向移动和数据收集做准备。

10. 横向移动（Lateral Movement）

在内部网络中扩散攻击，例如通过远程服务漏洞、Pass-the-Hash或利用共享资源。

11. 收集（Collection）

获取目标数据（如敏感文件、数据库信息），通常结合键盘记录、屏幕截图或数据缓存技术。

12. 命令与控制（Command and Control, C2）

建立与攻击者服务器的通信通道，用于远程控制受感染设备，例如通过DNS隧道或加密协议。

13. 数据窃取（Exfiltration）

将窃取的数据从目标网络传输到攻击者控制的服务器，常用方法包括压缩加密、隐蔽通道传输。

14. 影响（Impact）

破坏目标系统或数据的可用性/完整性，例如勒索软件加密文件、数据销毁或服务中断。

如何使用ATT*CK

安全评估与防御能力建设

• 企业或组织可以依据 ATT&CK 框架来评估自身的安全防御能力。检查现有的安全控制措施是否能够有效抵御框架中列举的各种攻击技术。比如，针对 ATT&CK 中提到的网络钓鱼攻击技术，检查是否有相应的邮件过滤系统、员工培训计划等防御措施。
• 基于评估结果，明确防御体系中的薄弱环节，有针对性地加强安全措施，如增加入侵检测系统对特定攻击技术的检测规则，或加强对员工的安全意识培训，以提高整体的安全防御水平。

事件响应

• 在发生安全事件时，ATT&CK 框架可帮助事件响应团队快速确定攻击的类型和可能的传播路径。例如，根据受感染系统上出现的异常行为和痕迹，对照 ATT&CK 框架判断攻击者可能使用的横向移动技术，进而追踪攻击的扩散范围。
• 指导响应团队采取有效的应对措施，如隔离受感染的系统、阻断攻击者可能利用的网络连接，同时依据框架中的信息制定针对性的调查和取证计划，以尽快遏制事件的影响并收集相关证据。

安全培训与教育

• 用于安全培训材料的开发，向安全人员和员工传授各种攻击技术的原理和表现形式。例如，通过讲解 ATT&CK 中的权限提升技术，让员工了解攻击者可能如何利用系统漏洞获取更高权限，从而提高员工的安全防范意识。
• 帮助安全人员更好地理解不同攻击阶段的特点和应对方法，提升其专业技能和应对实际安全威胁的能力。

威胁建模

• 在进行威胁建模时，ATT&CK 框架提供了丰富的攻击模式和场景信息。可以根据框架中的内容，分析组织的业务流程和系统架构可能面临的各种威胁，识别关键资产和潜在的攻击路径。
• 例如，在构建网络应用的威胁模型时，参考 ATT&CK 中关于 Web 应用攻击的技术，评估应用可能受到的 SQL 注入、跨站脚本攻击等威胁，并制定相应的缓解措施。