MITRE ATT&CK v10发布|更多对象奇偶校验和功能

ATT&CK简介

MITRE ATT&CK ^®是一个全球可访问的基于现实世界观察的对手战术和技术知识库。ATT&CK 知识库被用作在私营部门、政府以及网络安全产品和服务社区中开发特定威胁模型和方法的基础。

随着 ATT&CK 的创建，MITRE 正在履行其为更安全的世界解决问题的使命——通过将社区聚集在一起开发更有效的网络安全。ATT&CK 是开放的，可供任何个人或组织免费使用。

ATT&CK v10发布日期

2021 年 10 月 21 日

ATT&CK v10版本官网地址

https://attack.mitre.org/versions/v10/

ATT&CK中文版

http://www.ddosi.org/att/

新增点

“防御绕过” 相比v9版本增加1
“发现” 相比v9版本增加2

ATT&CK v10 更新日志

2021 年 10 月 (v10) ATT&CK 版本更新了适用于企业、移动和 ICS 的技术、组和软件。最大的变化是在 Enterprise ATT&CK 中添加了一组新的数据源和数据组件对象，以补充 ATT&CK v9 中发布的 ATT&CK 数据源名称更改。一个附带的博客文章介绍了这些变化以及跨ATT＆CK的各个领域和平台的改进。

在此版本中，我们将T1185和T1557重命名为更具包容性，并弃用了T1053.004以更好地反映对手的行为。

此版本的 ATT&CK for Enterprise 包含 14 个战术、188 个技术、379 个子技术、129 个组和 638 个软件。

Enterprise ATT&CK 中的新数据源和/或组件：

• 活动目录
  • Active Directory 凭据请求
  • 活动目录对象访问
  • Active Directory 对象创建
  • 活动目录对象删除
  • Active Directory 对象修改
• 申请日志
  • 应用日志内容
• 证书
  • 证书注册
• 云服务
  • 云服务禁用
  • 云服务枚举
  • 云服务元数据
  • 云服务修改
• 云储存
  • 云存储访问
  • 创建云存储
  • 云存储删除
  • 云存储枚举
  • 云存储元数据
  • 云存储修改
• 簇
  • 集群元数据
• 命令
  • 命令执行
• 容器
  • 容器创建
  • 容器枚举
  • 容器元数据
  • 容器启动
• 域名
  • 主动 DNS
  • 域名注册
  • 被动DNS
• 驾驶
  • 驱动器访问
  • 驱动器创建
  • 驱动改造
• 司机
  • 驱动负载
  • 驱动程序元数据
• 文件
  • 文件存取
  • 文件创建
  • 文件删除
  • 文件元数据
  • 文件修改
• 防火墙
  • 防火墙禁用
  • 防火墙枚举
  • 防火墙元数据
  • 防火墙规则修改
• 固件
  • 固件修改
• 团体
  • 组枚举
  • 组元数据
  • 组修改
• 图片
  • 图像创建
  • 图片删除
  • 图像元数据
  • 图像修改
• 实例
  • 实例创建
  • 实例删除
  • 实例枚举
  • 实例元数据
  • 实例修改
  • 实例启动
  • 实例停止
• 互联网扫描
  • 回复内容
  • 响应元数据
• 核心
  • 内核模块加载
• 登录会话
  • 登录会话创建
  • 登录会话元数据
• 恶意软件库
  • 恶意软件内容
  • 恶意软件元数据
• 模块
  • 模块负载
• 命名管道
  • 命名管道元数据
• 网络共享
  • 网络共享访问
• 网络流量
  • 网络连接创建
  • 网络流量内容
  • 网络流量
• 人格魅力
  • 社交媒体
• 荚
  • Pod 创建
  • Pod 枚举
  • Pod 元数据
  • 吊舱修改
• 过程
  • 操作系统 API 执行
  • 进程访问
  • 流程创建
  • 处理元数据
  • 工艺修改
  • 进程终止
• 预定作业
  • 计划的工作创造
  • 计划作业元数据
  • 预定作业修改
• 脚本
  • 脚本执行
• 传感器健康
  • 主机状态
• 服务
  • 服务创建
  • 服务元数据
  • 服务修改
• 快照
  • 快照创建
  • 快照删除
  • 快照枚举
  • 快照元数据
  • 快照修改
• 用户帐号
  • 用户帐号认证
  • 用户帐户创建
  • 用户帐户删除
  • 用户帐户元数据
  • 用户帐号修改
• 体积
  • 卷创建
  • 卷删除
  • 卷枚举
  • 卷元数据
  • 体积修改
• WMI
  • WMI 创建
• 网络凭证
  • 网络凭证创建
  • 网络凭证使用
• Windows 注册表
  • Windows 注册表项访问
  • Windows 注册表项创建
  • Windows 注册表项删除
  • Windows 注册表项修改

技巧

企业

新技术：

• 启动或登录自动启动执行：登录项
• 云存储对象发现
• 来自信息库的数据：代码库
• 组策略发现
• 隐藏工件：电子邮件隐藏规则
• 隐藏工件：资源分叉
• 削弱防御：降级攻击
• 削弱防御：安全模式启动
• 伪装：双文件扩展名
• 混淆的文件或信息：HTML 走私
• 反射代码加载
• 服务器软件组件：IIS 组件
• 签名二进制代理执行：MMC
• 签名二进制代理执行：Mavinject
• 系统位置发现：系统语言发现

技术变化：

• 访问令牌操作：使用令牌创建流程
• 帐户发现：本地帐户
• 帐户操作：Exchange 电子邮件委托权限
• 收购基础设施
  • 域
  • 服务器
  • 虚拟专用服务器
  • 网页服务
• 中间对手
  • ARP缓存中毒
  • LLMNR/NBT-NS 中毒和 SMB 中继
• 自动渗漏：流量复制
• 引导或登录自动启动执行：内核模块和扩展
• 启动或登录自动启动执行：Plist 修改
• 浏览器会话劫持
• 蛮力
• 在主机上构建映像
• 云基础设施发现
• 命令和脚本解释器
  • JavaScript
  • 网络设备 CLI
  • 电源外壳
  • Unix外壳
  • 视觉基础
  • Windows 命令外壳
• 妥协帐户
  • 社交媒体账户
• 妥协基础设施
  • DNS服务器
  • 域
  • 服务器
  • 虚拟专用服务器
  • 网页服务
• 创建账户：本地账户
• 创建或修改系统进程：启动代理
• 创建或修改系统进程：启动守护进程
• 为影响而加密的数据
• 来自信息库的数据
• 来自本地系统的数据
• 来自可移动媒体的数据
• 发展能力
  • 代码签名证书
  • 数字证书
  • 恶意软件
• 路过妥协
• 电子邮件收集
  • 电子邮件转发规则
• 逃到主人身边
• 建立帐户
  • 社交媒体账户
• 事件触发执行：Unix Shell 配置修改
• 事件触发执行：Windows Management Instrumentation 事件订阅
• 替代协议的渗透
  • 非对称加密非 C2 协议的渗透
  • 对未加密/混淆的非 C2 协议的渗透
• 通过 C2 通道进行渗透
• 物理介质上的渗透
  • 通过 USB 渗透
• 通过 Web 服务进行渗透
• 利用客户端执行
• 外部远程服务
• 文件和目录权限修改：Linux 和 Mac 文件和目录权限修改
• 伪造网络凭证
  • SAML 令牌
  • 网络饼干
• 收集受害者主机信息
  • 客户端配置
  • 硬件
  • 软件
• 收集受害者组织信息
  • 确定物理位置
• 硬件添加
• 隐藏文物
  • 隐藏用户
  • 运行虚拟实例
  • VBA 跺脚
• 劫持执行流程：服务注册表权限弱点
• 削弱防御
  • 禁用 Windows 事件日志记录
  • 禁用或修改工具
• 输入捕获：GUI 输入捕获
• 进程间通信
  • 组件对象模型
  • 动态数据交换
• 横向刀具转移
• 伪装：伪装任务或服务
• 伪装：从右到左覆盖
• 原生 API
• 网络共享发现
• 操作系统凭据转储
  • LSASS 内存
• 混淆的文件或信息
  • 二进制填充
  • 软件包
  • 隐写术
• 获得能力
  • 代码签名证书
  • 数字证书
  • 恶意软件
  • 工具
• 办公应用启动
  • 插件
  • Office 模板宏
  • 办公室测试
  • 展望表格
  • 展望主页
  • 展望规则
• 密码策略发现
• 权限组发现
  • 云组
• 网络钓鱼
  • 鱼叉式附件
• 工艺注入
  • 异步过程调用
  • 动态链接库注入
  • 便携式可执行注入
  • 工艺镂空
  • Ptrace 系统调用
  • 线程执行劫持
  • 线程本地存储
• 远程服务
  • 分布式组件对象模型
  • SSH
  • 虚拟网络
  • 视窗远程管理
• 远程系统发现
• 通过可移动媒体复制
• 计划任务/作业：在 (Linux)
• 计划任务/作业：容器编排作业
• 计划任务/作业：Cron
• 计划任务/作业：Systemd 计时器
• 服务器软件组件
  • 网络外壳
• 共享模块
• 签名二进制代理执行：Mshta
• 签名二进制代理执行：Rundll32
• 签名脚本代理执行：PubPrn
• 舞台能力
  • 路过目标
  • 安装数字证书
  • 链接目标
  • 上传恶意软件
  • 上传工具
• 窃取 Web 会话 Cookie
• 窃取或伪造 Kerberos 票证
• 颠覆信任控制
  • 关守旁路
  • 安装根证书
• 系统信息发现
• 系统网络配置发现
• 系统所有者/用户发现
• 系统服务发现
• 系统服务
  • 启动控件
  • 服务执行
• 污染共享内容
• 受信任的开发人员实用程序代理执行：MSBuild
• 使用替代认证材料
  • 网络会话 Cookie
• 用户执行
  • 恶意文件
  • 恶意图片
• 有效账户
  • 云账户
  • 域帐户
  • 本地帐户
• 虚拟化/沙盒规避
  • 系统检查
  • 基于时间的规避
  • 基于用户活动的检查
• Windows 管理规范

次要技术变化：

• 访问令牌操作
• 帐户发现
  • 域帐户
• 账户操作
• 自动过滤
• 引导或登录自动启动执行
• 命令和脚本解释器：Python
• 妥协客户端软件二进制文件
• 创建账户
• 创建或修改系统进程
• 来自密码存储的凭据
  • 密码管理器
• 来自信息库的数据：Confluence
• 来自信息库的数据：Sharepoint
• 事件触发执行
• 执行护栏
  • 环境键控
• 利用面向公众的应用程序
• 文件和目录发现
• 文件和目录权限修改
• 劫持执行流程
  • COR_PROFILER
• 主机上的指标删除
• 输入捕捉
• 伪装
• 修改认证过程
  • 可插拔认证模块
• 代理
• 计划任务/作业
• 服务器软件组件：传输代理
• 签名二进制代理执行
  • 执行器
• 签名脚本代理执行
• 窃取或伪造 Kerberos 票证：AS-REP 烘焙
• 系统位置发现
• 受信任的开发人员实用程序代理执行
• 使用替代身份验证材料：应用程序访问令牌
• 使用替代认证材料：传递哈希
• 使用替代认证材料：传递票证

技术撤销：无变化

技术弃用：

• 任务计划/工作：的launchd

移动的

新技术：

• 呼叫控制
• 挂钩
• 用户规避

技术变化：

• 利用 SS7 重定向电话/短信
• 操纵设备通信
• SIM卡交换

细微的技术变化：无变化

技术撤销：无变化

技术弃用：无变化

软件

企业

新软件：

• AppleSeed
• Avaddon
• BADFLICK
• BLUELIGHT
• Babuk
• Bad Rabbit
• BoomBox
• BoxCaon
• Chaes
• Clop
• Conficker
• CostaBricks
• Cuba
• DEATHRANSOM
• EKANS
• Ecipekac
• EnvyScout
• FIVEHANDS
• FYAnti
• GrimAgent
• HELLOKITTY
• Industroyer
• JSS Loader
• KillDisk
• Kobalos
• LiteDuke
• MarkiRAT
• NativeZone
• Nebulae
• ObliqueRAT
• P8RAT
• PS1
• Peppy
• ProLock
• QakBot
• RainyDay
• SMOKEDHAM
• Seth-Locker
• SideTwist
• Siloscape
• Sliver
• SodaMaster
• SombRAT
• SpicyOmelette
• Stuxnet
• TRITON
• Turian
• VaporRage
• WastedLocker
• Wevtutil
• XCSSET
• xCaon

软件改动：

• Aria-body
• Bandook
• Bazar
• Bisonal
• BloodHound
• Bundlore
• Carberp
• China Chopper
• Cobalt Strike
• Conti
• Crimson
• Dok
• Dridex
• DropBook
• Emissary
• Empire
• FatDuke
• GuLoader
• Hildegard
• Impacket
• Kerrdown
• Keydnap
• Kinsing
• LaZagne
• Lokibot
• LoudMiner
• Lucifer
• Maze
• Metamorfo
• MimiPenguin
• Mimikatz
• MiniDuke
• NETWIRE
• Net
• Nltest
• OSX/Shlayer
• OSX_OCEANLOTUS.D
• Octopus
• OwaAuth
• PoisonIvy
• PowerSploit
• PsExec
• QuasarRAT
• REvil
• RGDoor
• Ryuk
• SUNBURST
• SharpStage
• Spark
• SynAck
• Taidoor
• ThiefQuest
• TrickBot
• Zeus Panda
• certutil
• esentutl

次要软件更改：

• BADNEWS
• BOOTRASH
• ECCENTRICBANDWAGON
• Egregor
• Hikit
• HyperBro
• Reg
• WindTail
• zwShell

软件撤销：无变化

软件弃用：无变化

移动的

新软件：

• BusyGasper

软件改动：

• Anubis
• CarbonSteal
• Monokle

次要软件更改：无更改

软件撤销：无变化

软件弃用：无变化

团体

企业

新组织：

• Andariel
• BackdoorDiplomacy
• CostaRicto
• Ferocious Kitten
• IndigoZebra
• Nomadic Octopus
• TeamTNT
• Tonto Team
• Transparent Tribe

组变化：

• APT-C-36
• APT1
• APT19
• APT28
• APT29
• APT3
• APT32
• APT33
• APT37
• APT38
• APT39
• APT41
• BRONZE BUTLER
• Blue Mockingbird
• Carbanak
• Chimera
• Cleaver
• Cobalt Group
• CopyKittens
• Dark Caracal
• DarkHydrus
• DarkVishnya
• Dragonfly
• Dragonfly 2.0
• FIN10
• FIN4
• FIN5
• FIN6
• FIN7
• FIN8
• Frankenstein
• Gorgon Group
• Inception
• Indrik Spider
• Ke3chang
• Kimsuky
• Lazarus Group
• Leafminer
• Leviathan
• Magic Hound
• Mustang Panda
• Naikon
• Night Dragon
• OilRig
• Patchwork
• PittyTiger
• Sandworm Team
• Silence
• TA505
• TA551
• TEMP.Veles
• Threat Group-3390
• Thrip
• Turla
• WIRTE
• Whitefly
• Wizard Spider
• menuPass

小组变化：

• Machete

集团撤销：

• 偷来的铅笔（被Kimsuky撤销）

组弃用：

• Taidoor

移动的

新组：没有变化

组变化：

• APT28
• Dark Caracal
• Sandworm Team

小组变化：无变化

组撤销：无变化

组弃用：无变化

缓解措施

企业

新的缓解措施：

• 数据丢失防护

缓解变化：无变化

轻微的缓解变化：无变化

缓解撤销：无变化

缓解措施弃用：无变化

移动的

新的缓解措施：没有变化

缓解变化：无变化

轻微的缓解变化：无变化

缓解撤销：无变化

缓解措施弃用：无变化

更多详细信息查看https://medium.com/mitre-attack/

关于ATT&CK更多内容参考如下文章:
http://www.ddosi.org/?s=att