目录导航
ATT&CK ®是一个基于真实世界的观察对手的战术和技术的全球访问的知识库,由mitre公司维护开发。
ATT&CK知识库被用作私营部门,政府以及网络安全产品和服务社区中开发特定威胁模型和方法的基础。
通过创建ATT&CK,MITRE通过将社区聚集在一起以开发更有效的网络安全来履行其解决问题的任务,从而创造一个更安全的世界。ATT&CK是开放的,任何个人或组织均可免费使用。
ATT&CK v9发布日期:
2021年4月29日
更新日志
我做了一个网页,顺便翻译了一下,方便大家查看.
2021年4月(v9)的ATT&CK版本更新了适用于企业,移动和ICS的技术,组和软件。最大的变化是我们描述数据源的方式发生了变化,增加了Containers和Google Workspace平台,并用单个IaaS(基础设施即服务)平台替换了AWS,GCP和Azure平台。一个附带的博客文章介绍了这些修改和更详细的补充,重点对数据源的新结构。
此版本的企业版ATT&CK包含14种战术,185种技巧和367种子技巧。
技巧
企业
新技术:
- 引导或登录自动启动执行:活动设置
- 引导或登录自动启动执行:XDG自动启动条目
- 在主机上建立映像
- 容器管理命令
- 容器和资源发现
- 密码存储中的凭证:密码管理器
- 密码存储中的凭据:Windows凭据管理器
- 部署容器
- 逃到主机
- 计划任务/作业:容器编排作业
- 舞台能力
- 颠覆信任控制:修改代码签名策略
- 颠覆信任控制:Web标记绕过
- 系统位置发现
- 系统网络配置发现:Internet连接发现
- 不安全的凭证:容器API
- 用户执行:恶意映像
技术变更:
- 帐户发现
- 帐户操作
- 位工作
- 引导或登录自动启动执行:内核模块和扩展
- 引导或登录自动启动执行:快捷方式修改
- 引导或登录初始化脚本:RC脚本
- 浏览器扩展
- 暴力破解
- 云基础架构发现
- 云服务仪表板
- 云服务发现
- 命令和脚本解释器:JavaScript
- 命令和脚本解释器:Windows Command Shell
- 创建帐号
- 来自密码存储的凭据:来自Web浏览器的凭据
- 数据销毁
- 加密数据以产生影响
- 数据分段
- 来自云存储对象的数据
- 信息存储库中的数据
- 污损
- 开发能力:数字证书
- 开发能力:恶意软件
- 邮件收集
- 端点拒绝服务
- 建立账户
- 事件触发的执行:Unix Shell配置修改
- 事件触发的执行:Windows Management Instrumentation事件订阅
- 利用面向公众的应用程序
- 利用特权升级
- 外部远程服务
- 伪造网络凭证
- 劫持执行流程
- 损害防御
- 植入物内部图像
- 主机上的指示灯卸下
- 内部鱼叉
- 伪装
- 修改身份验证过程
- 修改云计算基础架构
- 网络拒绝服务
- 网络服务扫描
- 网络嗅探
- 获得能力:数字证书
- 权限组发现
- 网络钓鱼
- 网络钓鱼信息
- 远程系统发现
- 资源劫持
- 计划任务/工作
- 服务停止
- 签名的二进制代理执行:Msiexec
- 软件发现
- 窃取应用程序访问令牌
- 窃取Web会话Cookie
- 窃取或伪造Kerberos票证
- 系统信息发现
- 系统网络连接发现
- 系统时间发现
- 交通信号
- 将数据转移到云帐户
- 受信任的开发人员实用工具代理执行:MSBuild
- 信任关系
- 无抵押凭证
- 未使用/不受支持的云区域
- 使用备用身份验证材料
- 用户执行
- 有效帐号
- 虚拟化/沙盒逃避:系统检查
- 虚拟化/沙盒规避:基于时间的规避
次要技术更改:
- 访问令牌操纵
- 获取基础设施
- 主动扫描
- 自动渗透
- 引导或登录自动启动执行
- 引导或登录初始化脚本
- 命令和脚本解释器
- 损害帐户
- 损害基础设施
- 密码存储中的凭证
- 数据处理
- 发展能力
- 直接卷访问
- 域策略修改
- 动态分辨率:域生成算法
- 加密频道
- 建立帐户:电子邮件帐户
- 建立帐户:社交媒体帐户
- 事件触发执行
- 执行护栏:环境键控
- 远程服务的利用
- 收集受害者主机信息
- 收集受害者身份信息
- 收集受害者网络信息
- 收集受害者组织信息
- 硬件附加
- 防损防御:防损命令历史记录
- 防损防御:指标阻塞
- 主机上的指示灯删除:网络共享连接删除
- 输入捕获:凭据API挂钩
- 浏览器中的人
- 中间人:ARP缓存中毒
- 伪装:伪装任务或服务
- 伪装:重命名系统实用程序
- 网络共享发现
- 操作系统凭证转储
- 混淆的文件或信息
- 获得能力
- 网络钓鱼信息:鱼叉式网络服务
- 工艺注入
- 流氓域控制器
- 计划任务/工作:计划任务
- 搜索封闭源
- 搜索开放的技术数据库
- 搜索开放的网站/域
- 搜索受害者拥有的网站
- 签名的二进制代理执行
- 软件部署工具
- 颠覆信任控制
- 供应链妥协
- 系统网络配置发现
- 受信任的开发人员实用程序代理执行
- 虚拟化/沙盒规避
- XSL脚本处理
技术撤销:无变化
弃用技术:无变化
移动
新技术:
技术变更:
次要技术更改:
技术撤销:无变化
弃用技术:无变化
软件
企业
新软件:
- AppleJeus
- BLINDINGCAN
- Bazar
- BendyBear
- BitPaymer
- BlackMould
- CSPY Downloader
- Caterpillar WebShell
- ConnectWise
- Conti
- Crutch
- Doki
- DropBook
- Dtrack
- ECCENTRICBANDWAGON
- EVILNUM
- Egregor
- Explosive
- GoldFinder
- GoldMax
- Grandoreiro
- GuLoader
- Hildegard
- HyperStack
- IronNetInjector
- Javali
- KGH_SPY
- Kerrdown
- Kinsing
- LookBack
- Lucifer
- MegaCortex
- Melcoz
- MoleNet
- NBTscan
- Out1
- P.A.S. Webshell
- Pay2Key
- Penquin
- Pysa
- RemoteUtilities
- SLOTHFULMEDIA
- SUPERNOVA
- ShadowPad
- SharpStage
- Sibot
- Spark
- TAINTEDSCRIBE
- ThiefQuest
- Waterbear
软件变更:
- Agent Tesla
- Astaroth
- BabyShark
- BlackEnergy
- Carbon
- China Chopper
- Cobalt Strike
- ComRAT
- Ebury
- Empire
- EvilBunny
- Exaramel for Linux
- FALLCHILL
- Fysbis
- Gazer
- HTRAN
- HiddenWasp
- Hikit
- Kazuar
- LaZagne
- Machete
- Matryoshka
- Mimikatz
- More_eggs
- NETWIRE
- Net
- NotPetya
- OSX_OCEANLOTUS.D
- Olympic Destroyer
- PoetRAT
- PoisonIvy
- PowerSploit
- Proton
- REvil
- ROKRAT
- Ragnar Locker
- Raindrop
- Ramsay
- Ryuk
- SDBbot
- SEASHARPEE
- SUNBURST
- SUNSPOT
- TEARDROP
- TrickBot
- Ursnif
- Valak
- Zebrocy
- gh0st RAT
次要软件更改:
- BONDUPDATER
- BOOTRASH
- Briba
- Carbanak
- Catchamas
- DustySky
- Emotet
- HAMMERTOSS
- Hi-Zor
- Hydraq
- KeyBoy
- Linfo
- Linux Rabbit
- Naid
- Nerex
- Net Crawler
- Orz
- PUNCHBUGGY
- Pasam
- PoshC2
- PowerStallion
- ROCKBOOT
- Reaver
- SeaDuke
- Shamoon
- TURNEDUP
- TinyZBot
- Vasport
- WellMess
- Wiarp
- jRAT
- meek
- spwebmember
软件吊销:无更改
不推荐使用的软件:无需更改
移动
新软件:
- Android/AdDisplay.Ashas
- AndroidOS/MalLocker.B
- Asacub
- CHEMISTGAMES
- CarbonSteal
- Circles
- DoubleAgent
- Exobot
- FrozenCell
- GPlayed
- Golden Cup
- GoldenEagle
- HenBox
- Red Alert 2.0
- SilkBean
- TERRACOTTA
- Tiktok Pro
软件变更:
较小的软件更改:无更改
软件吊销:无更改
不推荐使用的软件:无需更改
团体
企业
新群组:
- Ajax Security Team
- Bouncing Golf
- Evilnum
- Fox Kitten
- HAFNIUM
- Higaisa
- Indrik Spider
- Mustang Panda
- Operation Wocao
- Sidewinder
- Silent Librarian
- TA551
- Volatile Cedar
- Windigo
- ZIRCONIUM
组更改:
- APT28
- APT29
- APT32
- APT39
- APT41
- BRONZE BUTLER
- BlackTech
- Carbanak
- Chimera
- Cobalt Group
- CopyKittens
- Darkhotel
- Dragonfly 2.0
- Elderwood
- FIN6
- GALLIUM
- GOLD SOUTHFIELD
- Kimsuky
- Lazarus Group
- Machete
- Magic Hound
- Molerats
- MuddyWater
- OilRig
- PLATINUM
- Sandworm Team
- Silence
- Stealth Falcon
- TA505
- Threat Group-3390
- Tropic Trooper
- Turla
- Windshift
- Wizard Spider
- menuPass
小团体变更:
组撤销:
- UNC2452(由APT29撤销)
小组弃用:无变化
组删除:
- 迷人的小猫
移动
新群组:
组更改:
较小的组更改:无更改
组撤销:无更改
小组弃用:无变化
缓解措施
企业
新缓解措施:无变化
缓解措施更改:无更改
次要缓解措施的变化:
缓解措施的撤销:无变化
缓解措施弃用:无变化
缓解措施删除:
- 组策略修改缓解
移动
新缓解措施:无变化
缓解措施更改:无更改
次要缓解措施的变化:
缓解措施的撤销:无变化
缓解措施弃用:无变化