论坛

临床参与者&CK Fr...
 
Notifications
清除所有

临床参与者&CK Framework


帖子:84
主持人
Topic starter
(@太极)
成员
Joined: 1 year ago

梅特开发的ATT.&CK作为文档的模型,并跟踪各种技术攻击者在网络内的不同阶段使用以渗透您的网络和exfiltrate数据。

att.&CK代表对抗策略策略,技术和共同知识。该框架是由不同策略排序的不同网络攻击技术的矩阵。 Windows,Linux,Mac和移动系统有不同的矩阵。

att.&CK是由策略进行黑客攻击技术的矩阵。 有几个不同的矩阵:

  • 前att.&CK Matrix 包括用于侦察,目标识别和攻击计划的技术。
  • 视窗 包括用于破解所有窗户的技巧。
  • Linux. 包括用于破解所有味道的Linux的技术。
  • 苹果系统 包括用于攻击麦克斯的技术。
  • 移动ATT.&CK matrix 包括用于攻击移动设备的技术。

这 企业ATT.&CK matrix 是Windows,MacOS和Linux矩阵的超集。在本文写作时,企业模型中有245个技术。梅特定期更新ATT&CK具有最新,最伟大的黑客攻击技巧,即黑客和安全研究人员在野外发现。

预先达到的差异&CK and ATT&CK Enterprise

前att.&CK and ATT&CK企业结合形成恰好与之对齐的策略的完整列表 网络杀链链。前att.&CK主要与杀灭链的前三个阶段对齐:侦察,武器化和交付。 att.&CK Enterprise与杀戮链的最终四个阶段保持良好:开发,安装,命令&控制和对象的行动。

网络杀链链

前att.&CK Tactics att.&CK企业战术
  • 优先定义
  • 目标选择
  • 信息收集
  • 弱点鉴定
  • 对手OPSEC
  • 建立&维护基础设施
  • 角色发展
  • 构建能力
  • 测试能力
  • 舞台能力
  • 初始访问
  • 执行
  • 坚持
  • 特权升级
  • 防守逃避
  • 凭据访问
  • 发现
  • 横向运动
  • 收藏
  • exfiltration.
  • 命令与控制

梅特和其他第三方开发人员使用ATT&帮助红色和蓝色球队实施他们的 波普 和防守努力:

  • 卡尔德州 斜切的自动连接技术仿真工具
  • 级联 是斜切的蓝队自动化工具集
  • 攻击导航员 您可以用来制作笔记并跟踪您的att吗?&CK status
  • 石油钻机 Palo Alto's对手玩具簿建于att&CK model.
  • 梅斯特 网络分析存储库 是一个单独的项目&CK跟踪有关如何检测技术的详细信息。
  • Varonis检测到几个att&您的网络中的CK技术和网络攻击 - 包括 通过哈希通过机票, 和 蛮力。 Varonis威胁模型使用相同  as ATT&所以CK,因此您可以在需要研究网络角质时轻松参考资源。

att.&CK Enterprise Matrix

 

主题标签
1 回复
帖子:84
主持人
Topic starter
(@太极)
成员
Joined: 1 year ago
什么是临界娱乐&CK?
这是一个框架,用于描述攻击者能够既有目标和攻击受害者的不同方式。这是一个生活框架,因为它经常更新,它是对真实攻击的汇编。
 
您可能会注意到有前提&ck and att&CK矩阵。随着不同的OS平台(例如Windows,MacOS,Linux)以及云和移动选项所做的差异。区别是必要的,因为并非所有攻击都适用于所有操作系统平台或技术。
 
前att.&CK指的是攻击者在实际攻击之前可能使用的活动范围。活动不仅仅是侦察(关于目标的学习),而且还要有关于获取和维护基础设施。
 
你可能听说过TTP,但他们的意思是什么?
参考 策略技术 and 程序。让我们深深地潜水。
 
策略: 是执行行动的原因;这 “为什么”. 获取初始访问,执行某些内容,持久,提升特权,发现凭据,横向移动等。拍摄,攻击者可能不一定使用所有攻击的策略。
 
策略的例子:
每个列标题都在 att.&CK Matrix 是一个策略,有11个:
技术: 代表这一点 “如何”。攻击者如何利用诸如exfiltration的策略来将数据移出系统。有数百种技术。请注意,技术在策略下属于策略,因此请务必垂直读取它们。
 
技术的示例:
是每个策略下的垂直盒子。例如,“exfiltration”在Windows矩阵下具有8个技术。
程序: 是执行技术的细节。或者在实际意义上,攻击者如何进入,或者他们如何获得(假设您计划主动措施)。
 
把它整合在一起(一个例子):
策略: 初始访问
技术: 网络钓鱼(通过服务窥探)
 
手术说明: 通过服务刺激是一种特定的网络钓鱼变体。它与其他形式的羽毛钓鱼不同,因为它采用了第三方服务(例如Twitter,LinkedIn等)而不是直接通过企业电子邮件渠道使用。
 
程序示例: 您的一位员工通过Facebook在工作中获取目标来访问恶意URL。 
 
缓解: 反恶意软件,用户培训,限制服务
检测: SSL / TLS检查,端点保护
回复
分享: