01. MITRE ATT&CK® 框架
智能安全事件可观测性 · 战术技术参考
一、框架概述
1.1 什么是 ATT&CK
MITRE ATT&CK®(Adversarial Tactics, Techniques & Common Knowledge)是一个基于真实世界观察的对抗性战术、技术和常识知识库。
官网: https://attack.mitre.org/
中文版: https://seccmd.github.io/Attack_CN/
框架演进历史:
| 年份 | 版本 | 核心变化 |
|---|---|---|
| 2013 | v1 | 企业矩阵(Pre-ATT&CK)发布 |
| 2015 | v3 | 正式命名 ATT&CK |
| 2017 | v6 | 移动矩阵加入 |
| 2020 | v8 | ATT&CK for Enterprise 2020 更新 |
| 2022 | v12 | 云矩阵全面重构 |
| 2024 | v14 | AI-specific 威胁纳入 |
| 2025 | v15 | ICS/OT 矩阵扩展 |
框架核心价值:
1.2 核心概念解析
战术 vs 技术 vs 子技术:
| 概念 | 定义 | 类比 | 示例 |
|---|---|---|---|
| 战术 (Tactic) | 攻击者的目标(为什么) | 楼层(攻击目标楼层) | 获得初始访问 |
| 技术 (Technique) | 实现战术的方法(怎么做) | 楼梯(爬楼梯的方式) | 钓鱼邮件 |
| 子技术 (Sub-technique) | 技术的具体变种 | 具体楼梯 | 鱼叉式钓鱼附件 |
| 程序 (Procedure) | 攻击者具体实现 | 某人爬楼梯的方式 | 使用 Emotet 木马 |
ATT&CK 矩阵结构:
战术列 (Tactic) ← 攻击者要达成的目标
│
├── 技术 1 (Technique)
│ ├── 子技术 1.1
│ ├── 子技术 1.2
│ └── 子技术 1.3
│
├── 技术 2 (Technique)
│ └── 子技术 2.1
│
└── 技术 3 (Technique)二、企业矩阵(Enterprise ATT&CK)
2.1 战术全景图
14 个战术按攻击链顺序:
2.2 检测优先级矩阵
| 战术 | 技术数 | 攻击阶段 | 业务影响 | 检测难度 | 优先级 |
|---|---|---|---|---|---|
| TA0043 侦察 | 12 | 前期 | 低 | ⭐⭐⭐ | 🟡 中 |
| TA0042 资源开发 | 8 | 前期 | 低 | ⭐⭐⭐⭐ | 🟡 中 |
| TA0001 初始访问 | 16 | 入侵 | 极高 | ⭐⭐⭐⭐ | 🔴 极高 |
| TA0002 执行 | 16 | 入侵 | 高 | ⭐⭐ | 🔴 高 |
| TA0003 持久化 | 20 | 潜伏 | 高 | ⭐⭐⭐⭐ | 🔴 高 |
| TA0004 权限提升 | 18 | 扩散 | 高 | ⭐⭐⭐⭐ | 🔴 高 |
| TA0005 防御规避 | 39 | 潜伏 | 中高 | ⭐⭐⭐⭐⭐ | 🟠 中高 |
| TA0006 凭据访问 | 17 | 扩散 | 极高 | ⭐⭐⭐⭐ | 🔴 高 |
| TA0007 发现 | 21 | 扩散 | 中 | ⭐⭐⭐ | 🟡 中 |
| TA0008 横向移动 | 11 | 扩散 | 极高 | ⭐⭐⭐⭐ | 🔴 高 |
| TA0009 收集 | 17 | 收集 | 高 | ⭐⭐⭐ | 🟠 中高 |
| TA0010 命令控制 | 18 | 控制 | 极高 | ⭐⭐⭐⭐⭐ | 🔴 高 |
| TA0011 数据外传 | 10 | 达成 | 极高 | ⭐⭐⭐⭐ | 🔴 高 |
| TA0040 影响 | 16 | 达成 | 极高 | ⭐⭐⭐ | 🔴 高 |
三、战术技术详解
3.1 TA0001 - 初始访问(Initial Access)
定义: 攻击者试图进入目标网络
核心入口技术:
| 技术 ID | 技术名称 | 子技术数 | 描述 | 入口场景 |
|---|---|---|---|---|
| T1190 | 利用面向 Internet 的系统 | 2 | 利用对外服务漏洞 | Web服务器、VPN、邮箱 |
| T1133 | 外部远程服务 | 0 | 利用远程服务 | RDP、SSH、VPN |
| T1566 | 钓鱼攻击 | 2 | 钓鱼获取访问权限 | 邮件钓鱼、鱼叉钓鱼 |
| T1078 | 有效账户 | 4 | 使用泄露凭据 | 密码复用、撞库 |
| T0856 | 恶意镜像 | 1 | 供应链投毒 | 第三方组件 |
| T1199 | 信任关系 | 0 | 利用信任关系 | MSSP、厂商连接 |
钓鱼攻击子技术详解:
| 子技术 | 说明 | 检测方法 |
|---|---|---|
| T1566.001 鱼叉钓鱼附件 | 定向恶意附件 | 附件沙箱、宏禁用 |
| T1566.002 鱼叉钓鱼链接 | 定向恶意链接 | URL 分析、点击警告 |
| T1566.003 鱼叉钓鱼邮件 | BEC 欺诈 | 邮件分析、发件人验证 |
初始访问向量分布(常见攻击):
📊 初始访问向量统计
🔴 钓鱼邮件攻击 ───────────────────── 45%
🟠 远程服务弱口令 ─────────────────── 20%
🟡 Web 应用漏洞 ──────────────────── 15%
🟡 供应链攻击 ───────────────────── 10%
🟢 物理访问 ───────────────────────── 5%
🟢 其他 ──────────────────────────── 5%3.2 TA0002 - 执行(Execution)
定义: 攻击者尝试运行恶意代码
核心执行技术:
| 技术 ID | 技术名称 | 子技术数 | 说明 | 检测重点 |
|---|---|---|---|---|
| T1059 | 命令和脚本解释器 | 7 | 使用系统工具执行命令 | 进程链、命令行 |
| T1053 | 计划任务/作业 | 5 | 调度恶意代码执行 | 任务创建、异常调度 |
| T1106 | 原生 API 调用 | 0 | 直接调用系统 API | Syscall、动态加载 |
| T1204 | 用户执行 | 2 | 诱导用户执行 | 文件执行、宏执行 |
| T1047 | Windows 管理 Instrumentation | 0 | 使用 WMIC 执行 | WMI 命令监控 |
T1059 命令和脚本解释器详解:
| 子技术 ID | 子技术名称 | 说明 | 攻击示例 |
|---|---|---|---|
| T1059.001 | PowerShell | 使用 PowerShell | Invoke-Mimikatz |
| T1059.002 | Windows Command Shell | 使用 cmd.exe | cmd /c powershell |
| T1059.003 | Unix Shell | 使用 Bash/Sh | curl | bash |
| T1059.004 | Python | 使用 Python | python -c 'import...' |
| T1059.005 | VBScript | 使用 VBS | 宏病毒 |
| T1059.006 | Python | 使用 Python | 下载并执行 |
检测矩阵:
| 数据源 | 检测特征 | 示例告警 |
|---|---|---|
| 进程监控 | 异常父子进程 | explorer → powershell |
| 命令历史 | 恶意命令执行 | encoded command |
| 注册表 | PowerShell 远程执行 | Set-ExecutionPolicy |
| 文件系统 | 脚本文件创建 | .ps1、batch |
3.3 TA0003 - 持久化(Persistence)
定义: 攻击者试图保持长期访问
持久化技术树:
核心持久化技术:
| 技术 ID | 技术名称 | 子技术数 | Windows | Linux | 检测难度 |
|---|---|---|---|---|---|
| T1547 | 注册表运行键 | 9 | ✓ | - | ⭐⭐⭐ |
| T1053 | 计划任务 | 5 | ✓ | ✓ | ⭐⭐⭐ |
| T1543 | 创建服务 | 3 | ✓ | ✓ | ⭐⭐⭐ |
| T1546 | 事件触发执行 | 12 | ✓ | ✓ | ⭐⭐⭐⭐ |
| T1505 | 服务器软件组件 | 4 | ✓ | ✓ | ⭐⭐⭐⭐ |
T1547 注册表运行键详解:
| 子技术 | 注册表路径 | 说明 | 检测 |
|---|---|---|---|
| T1547.001 | HKCU\...\Run |
用户级别自启动 | 监控 Run 键写入 |
| T1547.001 | HKLM\...\Run |
系统级别自启动 | 监控 Run 键写入 |
| T1547.003 | HKLM\...\RunOnce |
单次执行后删除 | 监控 RunOnce |
| T1547.004 | IFEO | 镜像劫持 | 监控注册表修改 |
3.4 TA0004 - 权限提升(Privilege Escalation)
定义: 攻击者获取更高权限
提权技术分类:
| 类别 | 技术 | 说明 | 平台 |
|---|---|---|---|
| 漏洞利用 | T1068 | 利用漏洞提权 | Windows/Linux |
| 令牌操纵 | T1134 | 令牌窃取/伪装 | Windows |
| UAC 绕过 | T1548.002 | 绕过用户账户控制 | Windows |
| 计划任务 | T1053.006 | 利用计划任务提权 | Windows/Linux |
| sudo 滥用 | T1548.003 | sudo 配置错误 | Linux |
Windows 提权技术详解:
| 技术 | 方法 | 检测难度 | 检测特征 |
|---|---|---|---|
| Bypass UAC | 使用高权限进程执行 | ⭐⭐⭐⭐ | 进程创建、注册表 |
| Token Manipulation | SeImpersonatePrivilege | ⭐⭐⭐⭐ | 令牌窃取、RPC |
| DLL 劫持 | 系统 DLL 搜索顺序劫持 | ⭐⭐⭐ | DLL 加载、日志 |
| 服务配置错误 | 服务权限配置错误 | ⭐⭐⭐ | 服务创建、配置 |
| Registry 权限 | 注册表权限配置错误 | ⭐⭐⭐ | ACL 变更 |
Linux 提权技术详解:
| 技术 | 方法 | 检测难度 | 检测特征 |
|---|---|---|---|
| SUDO 滥用 | sudo 配置错误 | ⭐⭐⭐ | sudoers 配置 |
| 内核漏洞 | Dirty Pipe/CVE | ⭐⭐⭐⭐ | 内核模块加载 |
| 计划任务劫持 | crontab 脚本劫持 | ⭐⭐⭐ | cron 任务、权限 |
| SUID 滥用 | 特殊权限文件 | ⭐⭐⭐ | SUID 文件、bash |
| NFS root squashing | NFS 配置错误 | ⭐⭐⭐ | NFS 挂载 |
3.5 TA0005 - 防御规避(Defense Evasion)
定义: 攻击者避免被发现
防御规避技术矩阵:
核心规避技术:
| 技术 ID | 技术名称 | 子技术数 | 说明 | 检测难度 |
|---|---|---|---|---|
| T1562 | 禁用安全软件 | 4 | 关闭防病毒、EDR | ⭐⭐⭐⭐ |
| T1070 | 清除日志 | 5 | 清除取证痕迹 | ⭐⭐⭐⭐ |
| T1027 | 混淆 | 8 | 代码混淆、编码 | ⭐⭐⭐ |
| T1036 | 伪装 | 7 | 文件/进程伪装 | ⭐⭐ |
| T1096 | 路径拼接 | 0 | NTFS 路径绕过 | ⭐⭐⭐ |
| T1564 | 隐藏组件 | 4 | 隐藏文件/目录 | ⭐⭐⭐ |
T1070 清除日志详解:
| 子技术 | 说明 | Windows 事件 | 检测方法 |
|---|---|---|---|
| T1070.001 | Clear Windows Event Logs | 安全、系统、应用 | Event Log 监控 |
| T1070.002 | Clear Linux Logs | /var/log/* | 文件系统监控 |
| T1070.003 | Clear Command History | history -c | Shell 历史监控 |
| T1070.004 | Delete File | 文件删除 | 文件完整性、备份 |
反检测技术:
3.6 TA0006 - 凭据访问(Credential Access)
定义: 攻击者窃取凭据
凭据窃取技术树:
核心凭据窃取技术:
| 技术 ID | 技术名称 | 子技术数 | 说明 | 风险等级 |
|---|---|---|---|---|
| T1003 | OS 凭据转储 | 8 | 操作系统凭据 | 🔴🔴🔴 |
| T1552 | 不安全凭据 | 5 | 配置文件凭据 | 🔴🔴 |
| T1558 | 窃取 Kerberos TGT | 3 | Kerberos 凭据 | 🔴🔴🔴 |
| T1110 | 暴力破解 | 4 | 密码暴力破解 | 🔴🔴 |
| T1056 | 输入捕获 | 2 | 键盘记录 | 🔴🔴 |
T1003 OS 凭据转储详解:
| 子技术 | 说明 | 工具 | 检测难度 |
|---|---|---|---|
| T1003.001 | LSASS 进程转储 | Mimikatz, procdump | ⭐⭐⭐⭐ |
| T1003.002 | 安全账户管理器 (SAM) | reg save, creddump | ⭐⭐⭐ |
| T1003.003 | NTDS.dit | ntdsutil, vssadmin | ⭐⭐⭐⭐ |
| T1003.006 | DCSync | Mimikatz | ⭐⭐⭐⭐⭐ |
| T1003.008 | /etc/passwd + /etc/shadow | John, Hashcat | ⭐⭐⭐ |
Kerberoasting 攻击详解:
攻击流程:
1. 侦察 ──▶ SPN 扫描 ──▶ 发现服务账户
2. 请求 ──▶ TGS 请求 ──▶ 获取加密票据
3. 离线 ──▶ 离线破解 ──▶ 获取明文密码
防护措施:
- 强密码策略
- 账户属性限制
- MDI 监控3.7 TA0007 - 发现(Discovery)
定义: 攻击者了解环境
发现技术矩阵:
| 技术 ID | 技术名称 | 子技术数 | 说明 | 数据源 |
|---|---|---|---|---|
| T1083 | 文件和目录发现 | 0 | 定位高价值文件 | 文件系统 |
| T1087 | 账户发现 | 3 | 枚举用户/组 | 本地/域 |
| T1018 | 远程系统发现 | 0 | 内网主机发现 | 网络 |
| T1046 | 网络服务扫描 | 0 | 端口/服务扫描 | 网络 |
| T1057 | 进程发现 | 0 | 查看运行进程 | 进程 |
| T1016 | 系统网络配置 | 1 | 网络配置 | 系统 |
主机发现命令:
| 命令 | 系统 | 说明 | 检测 |
|---|---|---|---|
net view |
Windows | 域内主机发现 | ⭐⭐ |
arp -a |
Windows/Linux | ARP 表 | ⭐⭐⭐ |
nmap -sT -p- |
Linux | 端口扫描 | ⭐⭐⭐⭐ |
nslookup |
Windows | DNS 查询 | ⭐ |
ping |
Both | 主机探测 | ⭐ |
账户发现命令:
| 命令 | 系统 | 说明 |
|---|---|---|
net user /domain |
Windows | 域用户枚举 |
net group "Domain Admins" |
Windows | 域管组枚举 |
wmic useraccount get |
Windows | 本地用户 |
getent passwd |
Linux | 系统用户 |
cat /etc/sudoers |
Linux | sudo 权限 |
3.8 TA0008 - 横向移动(Lateral Movement)
定义: 攻击者进入其他系统
横向移动技术对比:
| 技术 | 所需权限 | 是否需要凭据 | 加密 | 检测难度 |
|---|---|---|---|---|
| PsExec | 管理员 | 明文 | SMB | ⭐⭐ |
| WMI | 用户 | 明文 | DCOM | ⭐⭐⭐ |
| RDP | 用户 | 明文 | RDP | ⭐ |
| SSH | 用户 | 密钥/密码 | SSH | ⭐⭐ |
| SMB | 用户 | 哈希/明文 | SMB | ⭐⭐ |
| Pass-the-Hash | 用户 | 哈希 | NTLM | ⭐⭐ |
| WinRM | 用户 | 明文 | HTTPS | ⭐⭐⭐ |
Pass-the-Hash 攻击链:
3.9 TA0009 - 收集(Collection)
定义: 攻击者收集目标数据
收集技术矩阵:
| 技术 ID | 技术名称 | 子技术数 | 说明 | 数据类型 |
|---|---|---|---|---|
| T1005 | 本地系统数据 | 0 | 收集本地文件 | 文件 |
| T1039 | 网络共享数据 | 0 | 枚举共享文件 | 网络 |
| T1074 | 数据归一化 | 2 | 压缩打包 | 压缩文件 |
| T1113 | 屏幕截图 | 0 | 屏幕截图 | 图片 |
| T1114 | 邮件收集 | 2 | 邮件数据 | 邮件 |
| T1185 | 浏览器会话劫持 | 0 | Cookie 窃取 | 浏览器 |
数据收集阶段:
定位文件 ──▶ 读取内容 ──▶ 打包压缩 ──▶ 准备外传
│ │ │ │
▼ ▼ ▼ ▼
find命令 type命令 zip/rar FTP/云盘3.10 TA0010 - 命令控制(Command and Control)
定义: 攻击者与被控系统通信
C2 协议类型:
| 协议 | 特征 | 端口 | 检测方法 | 难度 |
|---|---|---|---|---|
| HTTP/S | 伪装正常流量 | 80/443 | JA3/JA4 指纹、TLS 指纹 | ⭐⭐⭐ |
| DNS | 低速、穿透防火墙 | 53 | DNS 查询频率、编码特征 | ⭐⭐⭐⭐ |
| ICMP | 隐蔽穿透 | - | 数据包大小、频率 | ⭐⭐⭐⭐⭐ |
| SSH | 加密隧道 | 22 | 会话特征、用户行为 | ⭐⭐⭐ |
| SMB | 横向通信 | 445 | SMB 指纹 | ⭐⭐ |
| TCP/UDP | 自定义协议 | 多 | 流量异常 | ⭐⭐⭐⭐ |
C2 框架:
| 框架 | 语言 | 特点 | 流行度 |
|---|---|---|---|
| Cobalt Strike | Java | 完整 C2、强大功能 | ⭐⭐⭐⭐⭐ |
| Metasploit | Ruby | 框架+模块 | ⭐⭐⭐⭐⭐ |
| Mythic | Python | 跨平台、现代设计 | ⭐⭐⭐ |
| Covenant | C# | .NET 生态 | ⭐⭐⭐ |
| Sliver | Go | 跨平台、EDR 规避 | ⭐⭐⭐ |
| Brute Ratel | C | 绕过 AV | ⭐⭐⭐ |
JA3/JA4 指纹检测:
JA3 计算流程:
1. 客户端 Hello 提取
2. TLS 版本
3. 密码套件
4. 扩展
5. 椭圆曲线
6. 签名算法
7. 组合 → MD5 哈希
示例:
JA3: 4bf7e17d73f46c0e29c1a532ba8ed0e93.11 TA0011 - 数据外传(Exfiltration)
定义: 攻击者窃取数据
外传技术:
| 技术 ID | 技术名称 | 子技术数 | 说明 | 检测难度 |
|---|---|---|---|---|
| T1041 | 通过 C2 信道 | 0 | 通过 C2 传输 | ⭐⭐⭐ |
| T1567 | 通过 Web 服务 | 2 | 云盘、Git 外传 | ⭐⭐⭐ |
| T1048 | 替代协议 | 3 | FTP、SFTP | ⭐⭐⭐ |
| T1050 | 非自动方式 | 0 | 手动外传 | ⭐⭐ |
| T1029 | 定时传输 | 0 | 定时批量传输 | ⭐⭐⭐ |
数据外传检测窗口:
3.12 TA0040 - 影响(Impact)
定义: 攻击者破坏业务
影响技术:
| 技术 ID | 技术名称 | 子技术数 | 说明 | 目标 |
|---|---|---|---|---|
| T1486 | 数据加密勒索 | 0 | 文件加密 | 勒索 |
| T1489 | 服务停止 | 0 | 停止服务 | 破坏 |
| T1490 | 阻止恢复 | 3 | 删除备份 | 加大损失 |
| T1485 | 数据销毁 | 0 | 磁盘擦除 | 破坏 |
| T1478 | 勒索赎金 | 0 | 索要赎金 | 盈利 |
勒索攻击阶段:
1. 初始入侵 ──▶ 2. 权限获取 ──▶ 3. 内网扩散
│ │ │
▼ ▼ ▼
4. 数据打包 ──▶ 5. 文件加密 ──▶ 6. 勒索信息
│ │ │
▼ ▼ ▼
大量读取 AES+RSA 勒索页面四、ATT&CK Navigator 使用指南
4.1 工具介绍
ATT&CK Navigator: https://attack.mitre.org/resources/navigator/
功能:
| 功能 | 说明 |
|---|---|
| 图层 | 可视化覆盖度 |
| 评分 | 基于矩阵评分 |
| 自定义 | 添加自定义技术 |
| 导出 | SVG、JSON、Excel |
4.2 常见使用场景
场景一:红队评估
1. 选择目标技术
2. 导出攻击路径
3. 执行对抗演练
4. 评估检测能力场景二:蓝队评估
1. 选择技术子集
2. 配置检测状态
3. 生成覆盖报告
4. 发现防御差距场景三:威胁情报
1. 导入 APT 组织 TTP
2. 映射到 ATT&CK
3. 生成组织画像
4. 预测攻击路径五、APT 组织 TTP 对照表
5.1 中国背景 APT 组织
| 组织 | 别名 | 攻击目标 | 主要战术 | 常用工具 | 活跃度 |
|---|---|---|---|---|---|
| APT41 | Wicked Panda | 科技、游戏、医疗 | TA0001, TA0008, TA0010 | Cobalt Strike, PlugX | 🔴🔴🔴🔴 |
| APT27 | Zebrodite | 政府、制造 | TA0001, TA0002, TA0010 | PlugX, China Chopper | 🔴🔴🔴 |
| APT10 | MenuPass | 科技、电信 | TA0006, TA0008 | PlugX, Quasar | 🔴🔴 |
| APT3 | Gothic Panda | 政府、国防 | TA0001, TA0005 | Poison Ivy, PlugX | 🔴🔴 |
| APT17 | Axiom | 政府、媒体 | TA0001, TA0003 | 定制后门 | 🔴 |
5.2 其他地区 APT 组织
| 组织 | 来源 | 攻击目标 | 主要战术 | 常用工具 |
|---|---|---|---|---|
| APT28 | 俄罗斯 | 政府、军队 | TA0001, TA0004, TA0010 | Sofacy, XAgent |
| APT29 | 俄罗斯 | 政府、医疗 | TA0003, TA0005 | MiniDuke, Nobelium |
| Lazarus | 朝鲜 | 金融、加密货币 | TA0001, TA0004, TA0040 | HOPLIGHT, BADPATCH |
| FIN7 | 金融犯罪 | 零售、餐饮 | TA0001, TA0002 | Carbanak, RESIDE |
| REvil | 俄罗斯 | 多行业 | TA0002, TA0040 | REvil ransomware |
六、检测覆盖评估
6.1 检测覆盖率自评表
| 战术 | 关键技术 | 当前覆盖 | 目标覆盖 | 差距 |
|---|---|---|---|---|
| 初始访问 | T1190, T1133, T1566, T1078 | 85% | >90% | 5% |
| 执行 | T1059, T1053, T1204 | 90% | >95% | 5% |
| 持久化 | T1547, T1053, T1543 | 75% | >90% | 15% |
| 权限提升 | T1068, T1548 | 70% | >85% | 15% |
| 防御规避 | T1562, T1070, T1027 | 65% | >80% | 15% |
| 凭据访问 | T1003, T1558 | 85% | >90% | 5% |
| 发现 | T1083, T1018, T1046 | 60% | >70% | 10% |
| 横向移动 | T1021, T1550 | 80% | >90% | 10% |
| 收集 | T1005, T1039 | 70% | >80% | 10% |
| 命令控制 | T1071, T1573 | 85% | >95% | 10% |
| 外传 | T1041, T1567 | 60% | >85% | 25% |
| 影响 | T1486, T1490 | 75% | >95% | 20% |
6.2 检测规则示例
规则名称: Suspicious_Run_Key_Modification
战术: Persistence (TA0003)
技术: T1547.001
条件:
- 注册表写入 HKCU\...\Run
- 进程不是已知安装程序
- 值包含可疑路径
严重级别: High
检测数据源: Windows Registry
规则名称: PowerShell_Encoded_Command
战术: Execution (TA0002)
技术: T1059.001
条件:
- 进程是 powershell.exe
- 命令行包含 -enc 或 -encoded
- 父进程是 office/explorer
严重级别: High
检测数据源: Process Execution
规则名称: LSASS_Access
战术: Credential Access (TA0006)
技术: T1003.001
条件:
- 访问 LSASS 进程内存
- 使用特别权限
严重级别: Critical
检测数据源: Windows Security Event七、与 Kill Chain 映射
7.1 映射表
| Cyber Kill Chain | ATT&CK 战术 | 说明 |
|---|---|---|
| 侦察 | TA0043 Reconnaissance | 收集目标信息 |
| 武器化 | TA0042 Resource Development | 准备攻击资源 |
| 投递 | TA0001 Initial Access | 送达攻击武器 |
| 利用 | TA0002 Execution | 执行恶意代码 |
| 安装 | TA0003 Persistence | 建立持久化 |
| C2 | TA0010 Command and Control | 保持通信 |
| 行动完成 | TA0009/TA0011/TA0040 | 完成攻击意图 |
7.2 检测时机矩阵
八、持续更新与订阅
8.1 版本更新追踪
订阅更新: https://attack.mitre.org/subscribe/
更新通知内容:
| 更新类型 | 说明 |
|---|---|
| 新技术添加 | 新发现的攻击技术 |
| 子技术扩展 | 技术细化 |
| 战术调整 | 战术描述更新 |
| 映射更新 | 与其他框架映射更新 |
8.2 版本历史
| 版本 | 日期 | 主要更新 |
|---|---|---|
| v13 | 2023-04 | 新增云服务相关技术 |
| v14 | 2024-04 | 完善 ICS/IT 映射 |
| v15 | 2025-01 | AI 威胁纳入、云原生技术扩展 |
| v16 | 2025-07 | 勒索软件专项矩阵 |
九、参考链接
| 资源 | 链接 |
|---|---|
| ATT&CK 官网 | https://attack.mitre.org/ |
| ATT&CK Navigator | https://attack.mitre.org/resources/navigator/ |
| ATT&CK 订阅 | https://attack.mitre.org/subscribe/ |
| 中文翻译版 | https://sqli101.github.io/Attack/ |
| ATT&CK 工作台 | https://mitre-engenuity.github.io/attack-navigator/ |
| MITRE Cyber Analytics Repository | https://car.mitre.org/ |
Last updated: 2026-06-02