ATT&CK，网络攻击行为的定义框架

      ATT&CK（Adversarial Tactics, Techniques, and Common Knowledge）是一个由MITRE组织于2013年创建和维护的框架，用于描述和分类网络攻击者的战术、技术和常见知识。该框架旨在帮助安全专业人员理解和对抗恶意行为，提供了一种共享的语言和结构，使安全社区能够更好地理解攻击者的行为模式，并更有效地应对网络威胁。

      第一次接触到这个框架是在2021年宁波Fic峰会期间，陆老师给我介绍了这个框架，虽然听说过这个名词，但对框架并没有太多的了解；回来一段时间后才去了解了这个框架，越发得觉得这是了不起的贡献，将整个Cyber Kill Chain(https://www.lockheedmartin.com/en-us/capabilities/cyber/cyber-kill-chain.html)进行了重定义，形成了通用官方语言。

后来在我的程序中引用了这个框架描述；程序以前也介绍过（《开发二进制文件静态快速分析工具（续）》《开发二进制文件静态快速分析工具（续二）》），看下界面：

今天用它分析一个程序时，才想起了这个，利用这个机会将框架介绍给你们。在文章的最后，来看下分析二进制后得出的框架图。

一、ATT&CK介绍

      ATT&CK框架以矩阵形式组织，列出了各种战术（Tactics）和技术（Techniques），描述了攻击者可能采用的方法和工具。这些战术和技术根据攻击者的行为方式进行分类，包括初始访问、执行、持久性、权限提升、防御绕过、凭据访问、发现、横向移动、集成和影响、数据采集和exfiltration等。

      ATT&CK框架是一个持续更新的项目，旨在反映最新的威胁和攻击技术，使安全专业人员能够更好地理解和应对不断演变的网络威胁。此框架将网络攻击分为十四个战术阶段，像是特权提升（privilege escalation）及指挥控制（command and control），这也是入侵方在各阶段的技术目的。战术阶段会往下列入为个别的技术和子技术。例如特权提升的对应技术有13种，包括滥用高级控制机制、访问令牌操作等。

二、MITRE ATT&CK Matrix 的资料呈现方式

      MITRE ATT&CK Matrix 基本呈现方式为表格，方便使用者阅读；使用者可搭配下列两种方式，交由软件进行自动化读取。

1. STIX：威胁情报的结构化语言
2. TAXII：威胁情报的传输机制

我们以STIX来说明一下，

下载地址：

GitHub - mitre-attack/attack-stix-data: STIX data representing MITRE ATT&CK

三、MITRE ATT&CK Matrix 的 3 大类

      MITRE ATT&CK Matrix 分为 3 大类，使用者可以透过自身情況简单判断，参考不同的表格，进行威胁判断并规划对策。

1. Enterprise Matrix：提供包含在 Window, Linux, MacOS 等上使用的攻击手法；
2. Mobile Matrix：提供手机设备上使用的攻击手法；
3. Pre-ATT&CK：提供前置攻击手法；

其官网为：https://attack.mitre.org/

其每一列代表了要想完成目标所需要的技术；移动到每一个子项时会出现ID的提示，如：

C2的Id就是T1059，进去看看：

有9项子技术，分别从T1059.001到009，对应的名称在右侧；

在下面提供了示例：

四、应用范围

      MITRE ATT&CK，对于攻击流程的定义，提出了更有系统性的归纳，成为简单易懂的模型与通用语言，这也让各家资安业者在说明网络攻击链（Cyber Kill Chain）时，有统一的标准去依循，而企业也可透过这样的工具， 更方便地理解攻击者行为带来的安全风险。

      MITRE ATT&CK 框架 不仅可作为公认的技术通用语言，也是攻击与防守方在恶意行为上的共通架构。因此 它可成为企业进行日常防卫行为的分类参考，以协助企业确认目前的安全状况，更可作为渗透测试与红队演练基础。承上所述，MITRE ATT&CK 框架与威胁情报搭配后，十分容易在实际环境使用，可通过其中已知使用的技术和策略的关联性来追踪恶意族群，为防护者提供了明确的现状图。

      而MITRE提出的ATT&CK框架，是将入侵期间可能发生的情况，做出更细的划分，区隔出11个策略阶段。包括：入侵初期、执行、权限提升、防御逃避、凭证存取、发现、横向移动、收集、渗透、指挥与控制。同时，针对攻击方在每个阶段，MITRE也将所使用的手法工具搜集起来，归类为知识库，如此一来，将有助于我们理解攻击者具备的能力。

      它的优势在于，提供了统一且结构化的方式，去描述攻击者手法与行为，只要使用一张框架去呈现，就能看出攻击者所使用的策略与手法，并能有更一致的过程来确定威胁的阶段。简单来说，就是透过标准化、架构化的信息，可以更快速检视网络安全事件的全貌。

五、程序检测的框架展示

通过上面的介绍，应该知道怎么去找这些具体ID的含义描述了吧。

世界上很多组织和公司都用它来描述攻击行为，成为一个通用语言和标准。

原文始发于微信公众号（MicroPest）：ATT&CK，网络攻击行为的定义框架