红队技能掌握之ATT&CK 框架

什么是ATT&CK 框架

ATT&CK 框架是MITRE 公司于 2013 年提出来的一个通用知识框架，中文名叫做「对抗战术、技术、常识」 。

MITRE官网地址：attack.mitre.org 在这里也可以去GITHUB上搜索一下翻译好的PDF

如何来理解ATT&CK

ATT&CK如此有效则是因为基本上所有的“战术”,"技术流程“都是现实世界出现的,就好像很多团队都有一套自己的流程,把流程制作成手册可以让新的团队成员快速掌握,ATT&CK

ATT&CK包含有12个大项有很多技术掌握的点

比如在流程中最初入口项中就有10余个技术点帮助你如何利用合法账号,供应链渗透，鱼叉攻击，硬件攻击，水坑攻击，Nday攻击等所以我们需要先了解后根据企业情况,以及工作需求进一步的进行技能掌握

    在解了ATT&CK的基本信息之后我们则需要了解一下ATT&CK的基本流程

所谓 ATT&CK的战术，是攻击者希望通过技术实现的目标，每个目标都包含了攻击者被实际观察使用的特定技术。

    这些战术都是以线性方式呈现，从情报收集一直到渗漏及影响，但不必按照该顺序使用，因为MITRE也并未提出特定的顺序。

    目前，MITRE已经识别的企业领域攻击战术就包含了如下14种：

• 侦察：

  这可以让攻击者尽可能多的获取关于目标的信息，从而利用目标信息构造漏洞以及判断下一步流程攻击流程的初始阶段。

  该战术可以让工程师发现有关目标网络的相关信息，比如系统漏洞和应用目录，开放信息等；

• 资源：

  攻击者建立漏洞模型,展开漏洞利用程序以开展进一步攻击渗透的一种攻击战术；

• 初始：

  解决攻击者在网络中获得初始据点的各种入口，如水坑攻击,Nday攻击,供应链渗透,账户访问凭据等；

• 执行：

  包括实现在目标系统,应用程序上运行攻击者所控制的恶意程序或者远程访问工具的技术如webshell,代码执行等，并通过与其他战术中的技术结合，从而在更广范围内实现扩大攻击效果；

• 维持：

  该战术中包括攻击者用来保持对目标系统访问的技术，因为攻击者会面对重新启动或者凭据更改等活动切断访问的情况；

• 权限：

  涵盖攻击者来在系统或网络上获得更高级别权限和访问权限的技术和活动，实现这一目标的技术包括利用系统错误配置及漏洞,如利用windows漏洞提高当前控制账户的权限等；

• 规避：

  这是攻击者通过使用特殊的技术，来避免在整个入侵过程中被侦测,阻拦的一个特殊技术，它包括的技术有混淆数据,绕过黑名单限制,绕过白名单,绕过杀毒软件,绕过防火墙,绕过waf等；

• 凭证：

  由于合法凭证可以让攻击者访问更多系统并使他们更难被发现，所以这个战术的目标是使用如暴力破解、键盘记录和凭证倾销,钓鱼攻击,密码学等相关技术来窃取账户凭证；

• 发现：

  该战术描述了攻击者用来获取有关内部网络的知识的技术，以便观察环境并决定下一步入侵,如内网资源探测,域,；

• 横向：

  该战术具体为从网络上某个被控制的系统移动到另一个系统的过程，作为获取更多信息，扩大攻占网络区域的一种常规手段；

• 收集：

  该战术涵盖了用来收集与实现其目标相关的信息及信息来源的技术,如从以及获取控制权限的计算机中获取凭证,查找系统的信息,等常常用于进行中间人攻击以及为”发现“战术提供基础支撑；

• 控制：

  攻击者尝试与目标网络上受其控制的系统进行通信的阶段，采用的技术包括数据混淆、协议隧道和流量加密等；

• 窃取：

  该战术处于攻击周期的收尾阶段，包括攻击者用来从目标网络窃取数据，同时通过压缩和加密避免检测的技术发现。

  从网络中窃取数据的常用技术，是通过命令和控制通道传输数据,或建立隐秘的传输通道；

• 影响：为实现最终目标而使用的技术，如破坏或窃取敏感数据和目标应用程序的完整性并以此作为最终目标。

                                    部分信息采摘自互联网