0%

MITRE ATT&CK 框架

01. MITRE ATT&CK® 框架

智能安全事件可观测性 · 战术技术参考


一、框架概述

1.1 什么是 ATT&CK

MITRE ATT&CK®(Adversarial Tactics, Techniques & Common Knowledge)是一个基于真实世界观察的对抗性战术、技术和常识知识库。

官网: https://attack.mitre.org/
中文版: https://seccmd.github.io/Attack_CN/

框架演进历史:

年份 版本 核心变化
2013 v1 企业矩阵(Pre-ATT&CK)发布
2015 v3 正式命名 ATT&CK
2017 v6 移动矩阵加入
2020 v8 ATT&CK for Enterprise 2020 更新
2022 v12 云矩阵全面重构
2024 v14 AI-specific 威胁纳入
2025 v15 ICS/OT 矩阵扩展

框架核心价值:

graph LR V1["统一语言 描述攻击行为"] --> V2["攻击者 TTP 映射 知己知彼"] V2 --> V3["检测覆盖评估 发现防御差距"] V3 --> V4["红蓝对抗基础 验证防御能力"] V4 --> V5["安全运营指南 指导防御建设"] style V1 fill:#e3f2fd,stroke:#1565c0 style V2 fill:#e8f5e9,stroke:#2e7d32 style V3 fill:#fff3e0,stroke:#e65100 style V4 fill:#fce4ec,stroke:#c62828 style V5 fill:#f3e5f5,stroke:#7b1fa2

1.2 核心概念解析

战术 vs 技术 vs 子技术:

概念 定义 类比 示例
战术 (Tactic) 攻击者的目标(为什么) 楼层(攻击目标楼层) 获得初始访问
技术 (Technique) 实现战术的方法(怎么做) 楼梯(爬楼梯的方式) 钓鱼邮件
子技术 (Sub-technique) 技术的具体变种 具体楼梯 鱼叉式钓鱼附件
程序 (Procedure) 攻击者具体实现 某人爬楼梯的方式 使用 Emotet 木马

ATT&CK 矩阵结构:

战术列 (Tactic)  ←  攻击者要达成的目标
    │
    ├── 技术 1 (Technique)
    │     ├── 子技术 1.1
    │     ├── 子技术 1.2
    │     └── 子技术 1.3
    │
    ├── 技术 2 (Technique)
    │     └── 子技术 2.1
    │
    └── 技术 3 (Technique)

二、企业矩阵(Enterprise ATT&CK)

2.1 战术全景图

14 个战术按攻击链顺序:

graph LR TA["TA0043 - 侦察"] --> TB["TA0042 - 资源开发"] TB --> T1["TA0001 - 初始访问"] T1 --> T2["TA0002 - 执行"] T2 --> T3["TA0003 - 持久化"] T3 --> T4["TA0004 - 权限提升"] T4 --> T5["TA0005 - 防御规避"] T5 --> T6["TA0006 - 凭据访问"] T6 --> T7["TA0007 - 发现"] T7 --> T8["TA0008 - 横向移动"] T8 --> T9["TA0009 - 收集"] T9 --> T10["TA0010 - 命令控制"] T10 --> T11["TA0011 - 数据外传"] T11 --> T12["TA0040 - 影响"] style TA fill:#fff3e0,stroke:#e65100 style T1 fill:#e3f2fd,stroke:#1565c0 style T12 fill:#fce4ec,stroke:#c62828

2.2 检测优先级矩阵

战术 技术数 攻击阶段 业务影响 检测难度 优先级
TA0043 侦察 12 前期 ⭐⭐⭐ 🟡 中
TA0042 资源开发 8 前期 ⭐⭐⭐⭐ 🟡 中
TA0001 初始访问 16 入侵 极高 ⭐⭐⭐⭐ 🔴 极高
TA0002 执行 16 入侵 ⭐⭐ 🔴 高
TA0003 持久化 20 潜伏 ⭐⭐⭐⭐ 🔴 高
TA0004 权限提升 18 扩散 ⭐⭐⭐⭐ 🔴 高
TA0005 防御规避 39 潜伏 中高 ⭐⭐⭐⭐⭐ 🟠 中高
TA0006 凭据访问 17 扩散 极高 ⭐⭐⭐⭐ 🔴 高
TA0007 发现 21 扩散 ⭐⭐⭐ 🟡 中
TA0008 横向移动 11 扩散 极高 ⭐⭐⭐⭐ 🔴 高
TA0009 收集 17 收集 ⭐⭐⭐ 🟠 中高
TA0010 命令控制 18 控制 极高 ⭐⭐⭐⭐⭐ 🔴 高
TA0011 数据外传 10 达成 极高 ⭐⭐⭐⭐ 🔴 高
TA0040 影响 16 达成 极高 ⭐⭐⭐ 🔴 高

三、战术技术详解

3.1 TA0001 - 初始访问(Initial Access)

定义: 攻击者试图进入目标网络

核心入口技术:

技术 ID 技术名称 子技术数 描述 入口场景
T1190 利用面向 Internet 的系统 2 利用对外服务漏洞 Web服务器、VPN、邮箱
T1133 外部远程服务 0 利用远程服务 RDP、SSH、VPN
T1566 钓鱼攻击 2 钓鱼获取访问权限 邮件钓鱼、鱼叉钓鱼
T1078 有效账户 4 使用泄露凭据 密码复用、撞库
T0856 恶意镜像 1 供应链投毒 第三方组件
T1199 信任关系 0 利用信任关系 MSSP、厂商连接

钓鱼攻击子技术详解:

子技术 说明 检测方法
T1566.001 鱼叉钓鱼附件 定向恶意附件 附件沙箱、宏禁用
T1566.002 鱼叉钓鱼链接 定向恶意链接 URL 分析、点击警告
T1566.003 鱼叉钓鱼邮件 BEC 欺诈 邮件分析、发件人验证

初始访问向量分布(常见攻击):

📊 初始访问向量统计

🔴 钓鱼邮件攻击 ───────────────────── 45%
🟠 远程服务弱口令 ─────────────────── 20%
🟡 Web 应用漏洞 ──────────────────── 15%
🟡 供应链攻击 ───────────────────── 10%
🟢 物理访问 ───────────────────────── 5%
🟢 其他 ──────────────────────────── 5%

3.2 TA0002 - 执行(Execution)

定义: 攻击者尝试运行恶意代码

核心执行技术:

技术 ID 技术名称 子技术数 说明 检测重点
T1059 命令和脚本解释器 7 使用系统工具执行命令 进程链、命令行
T1053 计划任务/作业 5 调度恶意代码执行 任务创建、异常调度
T1106 原生 API 调用 0 直接调用系统 API Syscall、动态加载
T1204 用户执行 2 诱导用户执行 文件执行、宏执行
T1047 Windows 管理 Instrumentation 0 使用 WMIC 执行 WMI 命令监控

T1059 命令和脚本解释器详解:

子技术 ID 子技术名称 说明 攻击示例
T1059.001 PowerShell 使用 PowerShell Invoke-Mimikatz
T1059.002 Windows Command Shell 使用 cmd.exe cmd /c powershell
T1059.003 Unix Shell 使用 Bash/Sh curl | bash
T1059.004 Python 使用 Python python -c 'import...'
T1059.005 VBScript 使用 VBS 宏病毒
T1059.006 Python 使用 Python 下载并执行

检测矩阵:

数据源 检测特征 示例告警
进程监控 异常父子进程 explorer → powershell
命令历史 恶意命令执行 encoded command
注册表 PowerShell 远程执行 Set-ExecutionPolicy
文件系统 脚本文件创建 .ps1batch

3.3 TA0003 - 持久化(Persistence)

定义: 攻击者试图保持长期访问

持久化技术树:

graph TB P[持久化] --> P1[注册表] P --> P2[计划任务] P --> P3[服务] P --> P4[WMI事件] P --> P5[启动项] P --> P6[恶意组件] P1 --> P1a[Run键] P1 --> P1b[Services键] P1 --> P1c[IFEO] P2 --> P2a[Scheduled Task] P2 --> P2b[cron/at] P3 --> P3a[Windows服务] P3 --> P3b[Systemd服务] P4 --> P4a[永久事件订阅] P5 --> P5a[Startup目录] P5 --> P5b[rc.local] P6 --> P6a[COM对象] P6 --> P6b[Bootkit] style P fill:#fce4ec,stroke:#c62828 style P1a fill:#fff,stroke:#c62828 style P2a fill:#fff,stroke:#c62828 style P4a fill:#fff,stroke:#c62828

核心持久化技术:

技术 ID 技术名称 子技术数 Windows Linux 检测难度
T1547 注册表运行键 9 - ⭐⭐⭐
T1053 计划任务 5 ⭐⭐⭐
T1543 创建服务 3 ⭐⭐⭐
T1546 事件触发执行 12 ⭐⭐⭐⭐
T1505 服务器软件组件 4 ⭐⭐⭐⭐

T1547 注册表运行键详解:

子技术 注册表路径 说明 检测
T1547.001 HKCU\...\Run 用户级别自启动 监控 Run 键写入
T1547.001 HKLM\...\Run 系统级别自启动 监控 Run 键写入
T1547.003 HKLM\...\RunOnce 单次执行后删除 监控 RunOnce
T1547.004 IFEO 镜像劫持 监控注册表修改

3.4 TA0004 - 权限提升(Privilege Escalation)

定义: 攻击者获取更高权限

提权技术分类:

类别 技术 说明 平台
漏洞利用 T1068 利用漏洞提权 Windows/Linux
令牌操纵 T1134 令牌窃取/伪装 Windows
UAC 绕过 T1548.002 绕过用户账户控制 Windows
计划任务 T1053.006 利用计划任务提权 Windows/Linux
sudo 滥用 T1548.003 sudo 配置错误 Linux

Windows 提权技术详解:

技术 方法 检测难度 检测特征
Bypass UAC 使用高权限进程执行 ⭐⭐⭐⭐ 进程创建、注册表
Token Manipulation SeImpersonatePrivilege ⭐⭐⭐⭐ 令牌窃取、RPC
DLL 劫持 系统 DLL 搜索顺序劫持 ⭐⭐⭐ DLL 加载、日志
服务配置错误 服务权限配置错误 ⭐⭐⭐ 服务创建、配置
Registry 权限 注册表权限配置错误 ⭐⭐⭐ ACL 变更

Linux 提权技术详解:

技术 方法 检测难度 检测特征
SUDO 滥用 sudo 配置错误 ⭐⭐⭐ sudoers 配置
内核漏洞 Dirty Pipe/CVE ⭐⭐⭐⭐ 内核模块加载
计划任务劫持 crontab 脚本劫持 ⭐⭐⭐ cron 任务、权限
SUID 滥用 特殊权限文件 ⭐⭐⭐ SUID 文件、bash
NFS root squashing NFS 配置错误 ⭐⭐⭐ NFS 挂载

3.5 TA0005 - 防御规避(Defense Evasion)

定义: 攻击者避免被发现

防御规避技术矩阵:

graph LR subgraph 规避类别 E1[禁用安全工具] E2[清除日志] E3[混淆] E4[伪装] E5[绕过] end E1 --> E1a[T1562 禁用软件] E2 --> E2a[T1070 清除日志] E3 --> E3a[T1027 混淆] E4 --> E4a[T1036 伪装] E5 --> E5a[T1096 路径拼接] style E1 fill:#fce4ec,stroke:#c62828 style E2 fill:#fff3e0,stroke:#e65100 style E3 fill:#e3f2fd,stroke:#1565c0

核心规避技术:

技术 ID 技术名称 子技术数 说明 检测难度
T1562 禁用安全软件 4 关闭防病毒、EDR ⭐⭐⭐⭐
T1070 清除日志 5 清除取证痕迹 ⭐⭐⭐⭐
T1027 混淆 8 代码混淆、编码 ⭐⭐⭐
T1036 伪装 7 文件/进程伪装 ⭐⭐
T1096 路径拼接 0 NTFS 路径绕过 ⭐⭐⭐
T1564 隐藏组件 4 隐藏文件/目录 ⭐⭐⭐

T1070 清除日志详解:

子技术 说明 Windows 事件 检测方法
T1070.001 Clear Windows Event Logs 安全、系统、应用 Event Log 监控
T1070.002 Clear Linux Logs /var/log/* 文件系统监控
T1070.003 Clear Command History history -c Shell 历史监控
T1070.004 Delete File 文件删除 文件完整性、备份

反检测技术:

graph TB D[防御规避] --> D1[无文件攻击] D --> D2[DLL 侧加载] D --> D3[合法工具滥用] D --> D4[白名单绕过] D1 --> D1a[PowerShell/WScript] D1 --> D1b[Registry 存储] D1 --> D1c[内存执行] D3 --> D3a[PsExec/WMIC] D3 --> D3b[Certutil/Wget] style D1 fill:#fce4ec,stroke:#c62828 style D2 fill:#fff3e0,stroke:#e65100 style D3 fill:#e8f5e9,stroke:#2e7d32

3.6 TA0006 - 凭据访问(Credential Access)

定义: 攻击者窃取凭据

凭据窃取技术树:

graph TB C["凭据访问"] --> C1["内存凭据"] C --> C2["本地凭据"] C --> C3["域凭据"] C --> C4["浏览器凭据"] C1 --> C1a["LSASS 转储"] C1 --> C1b["SAM 数据库"] C1 --> C1c["Process Memory"] C2 --> C2a["/etc/passwd"] C2 --> C2b["SSH Key"] C2 --> C2c["配置文件"] C3 --> C3a["Kerberoasting"] C3 --> C3b["黄金白银票"] C3 --> C3c["AS-REP Roasting"] C4 --> C4a["浏览器 Cookie"] C4 --> C4b["浏览器密码"] style C fill:#fce4ec,stroke:#c62828 style C1a fill:#fff,stroke:#c62828 style C3a fill:#fff,stroke:#c62828

核心凭据窃取技术:

技术 ID 技术名称 子技术数 说明 风险等级
T1003 OS 凭据转储 8 操作系统凭据 🔴🔴🔴
T1552 不安全凭据 5 配置文件凭据 🔴🔴
T1558 窃取 Kerberos TGT 3 Kerberos 凭据 🔴🔴🔴
T1110 暴力破解 4 密码暴力破解 🔴🔴
T1056 输入捕获 2 键盘记录 🔴🔴

T1003 OS 凭据转储详解:

子技术 说明 工具 检测难度
T1003.001 LSASS 进程转储 Mimikatz, procdump ⭐⭐⭐⭐
T1003.002 安全账户管理器 (SAM) reg save, creddump ⭐⭐⭐
T1003.003 NTDS.dit ntdsutil, vssadmin ⭐⭐⭐⭐
T1003.006 DCSync Mimikatz ⭐⭐⭐⭐⭐
T1003.008 /etc/passwd + /etc/shadow John, Hashcat ⭐⭐⭐

Kerberoasting 攻击详解:

攻击流程:

1. 侦察 ──▶ SPN 扫描 ──▶ 发现服务账户
2. 请求 ──▶ TGS 请求 ──▶ 获取加密票据
3. 离线 ──▶ 离线破解 ──▶ 获取明文密码

防护措施:
- 强密码策略
- 账户属性限制
- MDI 监控

3.7 TA0007 - 发现(Discovery)

定义: 攻击者了解环境

发现技术矩阵:

技术 ID 技术名称 子技术数 说明 数据源
T1083 文件和目录发现 0 定位高价值文件 文件系统
T1087 账户发现 3 枚举用户/组 本地/域
T1018 远程系统发现 0 内网主机发现 网络
T1046 网络服务扫描 0 端口/服务扫描 网络
T1057 进程发现 0 查看运行进程 进程
T1016 系统网络配置 1 网络配置 系统

主机发现命令:

命令 系统 说明 检测
net view Windows 域内主机发现 ⭐⭐
arp -a Windows/Linux ARP 表 ⭐⭐⭐
nmap -sT -p- Linux 端口扫描 ⭐⭐⭐⭐
nslookup Windows DNS 查询
ping Both 主机探测

账户发现命令:

命令 系统 说明
net user /domain Windows 域用户枚举
net group "Domain Admins" Windows 域管组枚举
wmic useraccount get Windows 本地用户
getent passwd Linux 系统用户
cat /etc/sudoers Linux sudo 权限

3.8 TA0008 - 横向移动(Lateral Movement)

定义: 攻击者进入其他系统

横向移动技术对比:

技术 所需权限 是否需要凭据 加密 检测难度
PsExec 管理员 明文 SMB ⭐⭐
WMI 用户 明文 DCOM ⭐⭐⭐
RDP 用户 明文 RDP
SSH 用户 密钥/密码 SSH ⭐⭐
SMB 用户 哈希/明文 SMB ⭐⭐
Pass-the-Hash 用户 哈希 NTLM ⭐⭐
WinRM 用户 明文 HTTPS ⭐⭐⭐

Pass-the-Hash 攻击链:

graph LR A[主机 A] -->|"凭据哈希"| B[主机 B] B -->|"访问共享"| C[主机 C] C -->|"获取更多哈希"| D[主机 D] style A fill:#e3f2fd,stroke:#1565c0 style D fill:#fce4ec,stroke:#c62828

3.9 TA0009 - 收集(Collection)

定义: 攻击者收集目标数据

收集技术矩阵:

技术 ID 技术名称 子技术数 说明 数据类型
T1005 本地系统数据 0 收集本地文件 文件
T1039 网络共享数据 0 枚举共享文件 网络
T1074 数据归一化 2 压缩打包 压缩文件
T1113 屏幕截图 0 屏幕截图 图片
T1114 邮件收集 2 邮件数据 邮件
T1185 浏览器会话劫持 0 Cookie 窃取 浏览器

数据收集阶段:

定位文件 ──▶ 读取内容 ──▶ 打包压缩 ──▶ 准备外传
   │          │           │          │
   ▼          ▼           ▼          ▼
 find命令   type命令    zip/rar    FTP/云盘

3.10 TA0010 - 命令控制(Command and Control)

定义: 攻击者与被控系统通信

C2 协议类型:

协议 特征 端口 检测方法 难度
HTTP/S 伪装正常流量 80/443 JA3/JA4 指纹、TLS 指纹 ⭐⭐⭐
DNS 低速、穿透防火墙 53 DNS 查询频率、编码特征 ⭐⭐⭐⭐
ICMP 隐蔽穿透 - 数据包大小、频率 ⭐⭐⭐⭐⭐
SSH 加密隧道 22 会话特征、用户行为 ⭐⭐⭐
SMB 横向通信 445 SMB 指纹 ⭐⭐
TCP/UDP 自定义协议 流量异常 ⭐⭐⭐⭐

C2 框架:

框架 语言 特点 流行度
Cobalt Strike Java 完整 C2、强大功能 ⭐⭐⭐⭐⭐
Metasploit Ruby 框架+模块 ⭐⭐⭐⭐⭐
Mythic Python 跨平台、现代设计 ⭐⭐⭐
Covenant C# .NET 生态 ⭐⭐⭐
Sliver Go 跨平台、EDR 规避 ⭐⭐⭐
Brute Ratel C 绕过 AV ⭐⭐⭐

JA3/JA4 指纹检测:

JA3 计算流程:
1. 客户端 Hello 提取
2. TLS 版本
3. 密码套件
4. 扩展
5. 椭圆曲线
6. 签名算法
7. 组合 → MD5 哈希

示例:
JA3: 4bf7e17d73f46c0e29c1a532ba8ed0e9

3.11 TA0011 - 数据外传(Exfiltration)

定义: 攻击者窃取数据

外传技术:

技术 ID 技术名称 子技术数 说明 检测难度
T1041 通过 C2 信道 0 通过 C2 传输 ⭐⭐⭐
T1567 通过 Web 服务 2 云盘、Git 外传 ⭐⭐⭐
T1048 替代协议 3 FTP、SFTP ⭐⭐⭐
T1050 非自动方式 0 手动外传 ⭐⭐
T1029 定时传输 0 定时批量传输 ⭐⭐⭐

数据外传检测窗口:

graph LR C1[收集] --> C2[暂存] C2 --> C3[压缩] C3 --> C4[加密] C4 --> C5[外传] C1 -.->|"检测点 1"| D1[大量读取] C2 -.->|"检测点 2"| D2[可疑暂存] C3 -.->|"检测点 3"| D3[压缩行为] C5 -.->|"检测点 4"| D4[异常上传]

3.12 TA0040 - 影响(Impact)

定义: 攻击者破坏业务

影响技术:

技术 ID 技术名称 子技术数 说明 目标
T1486 数据加密勒索 0 文件加密 勒索
T1489 服务停止 0 停止服务 破坏
T1490 阻止恢复 3 删除备份 加大损失
T1485 数据销毁 0 磁盘擦除 破坏
T1478 勒索赎金 0 索要赎金 盈利

勒索攻击阶段:

1. 初始入侵 ──▶ 2. 权限获取 ──▶ 3. 内网扩散
    │              │              │
    ▼              ▼              ▼
4. 数据打包 ──▶ 5. 文件加密 ──▶ 6. 勒索信息
    │              │              │
    ▼              ▼              ▼
 大量读取      AES+RSA        勒索页面

四、ATT&CK Navigator 使用指南

4.1 工具介绍

ATT&CK Navigator: https://attack.mitre.org/resources/navigator/

功能:

功能 说明
图层 可视化覆盖度
评分 基于矩阵评分
自定义 添加自定义技术
导出 SVG、JSON、Excel

4.2 常见使用场景

场景一:红队评估

1. 选择目标技术
2. 导出攻击路径
3. 执行对抗演练
4. 评估检测能力

场景二:蓝队评估

1. 选择技术子集
2. 配置检测状态
3. 生成覆盖报告
4. 发现防御差距

场景三:威胁情报

1. 导入 APT 组织 TTP
2. 映射到 ATT&CK
3. 生成组织画像
4. 预测攻击路径

五、APT 组织 TTP 对照表

5.1 中国背景 APT 组织

组织 别名 攻击目标 主要战术 常用工具 活跃度
APT41 Wicked Panda 科技、游戏、医疗 TA0001, TA0008, TA0010 Cobalt Strike, PlugX 🔴🔴🔴🔴
APT27 Zebrodite 政府、制造 TA0001, TA0002, TA0010 PlugX, China Chopper 🔴🔴🔴
APT10 MenuPass 科技、电信 TA0006, TA0008 PlugX, Quasar 🔴🔴
APT3 Gothic Panda 政府、国防 TA0001, TA0005 Poison Ivy, PlugX 🔴🔴
APT17 Axiom 政府、媒体 TA0001, TA0003 定制后门 🔴

5.2 其他地区 APT 组织

组织 来源 攻击目标 主要战术 常用工具
APT28 俄罗斯 政府、军队 TA0001, TA0004, TA0010 Sofacy, XAgent
APT29 俄罗斯 政府、医疗 TA0003, TA0005 MiniDuke, Nobelium
Lazarus 朝鲜 金融、加密货币 TA0001, TA0004, TA0040 HOPLIGHT, BADPATCH
FIN7 金融犯罪 零售、餐饮 TA0001, TA0002 Carbanak, RESIDE
REvil 俄罗斯 多行业 TA0002, TA0040 REvil ransomware

六、检测覆盖评估

6.1 检测覆盖率自评表

战术 关键技术 当前覆盖 目标覆盖 差距
初始访问 T1190, T1133, T1566, T1078 85% >90% 5%
执行 T1059, T1053, T1204 90% >95% 5%
持久化 T1547, T1053, T1543 75% >90% 15%
权限提升 T1068, T1548 70% >85% 15%
防御规避 T1562, T1070, T1027 65% >80% 15%
凭据访问 T1003, T1558 85% >90% 5%
发现 T1083, T1018, T1046 60% >70% 10%
横向移动 T1021, T1550 80% >90% 10%
收集 T1005, T1039 70% >80% 10%
命令控制 T1071, T1573 85% >95% 10%
外传 T1041, T1567 60% >85% 25%
影响 T1486, T1490 75% >95% 20%

6.2 检测规则示例

规则名称: Suspicious_Run_Key_Modification
战术: Persistence (TA0003)
技术: T1547.001
条件:
  - 注册表写入 HKCU\...\Run
  - 进程不是已知安装程序
  - 值包含可疑路径
严重级别: High
检测数据源: Windows Registry

规则名称: PowerShell_Encoded_Command
战术: Execution (TA0002)
技术: T1059.001
条件:
  - 进程是 powershell.exe
  - 命令行包含 -enc 或 -encoded
  - 父进程是 office/explorer
严重级别: High
检测数据源: Process Execution

规则名称: LSASS_Access
战术: Credential Access (TA0006)
技术: T1003.001
条件:
  - 访问 LSASS 进程内存
  - 使用特别权限
严重级别: Critical
检测数据源: Windows Security Event

七、与 Kill Chain 映射

7.1 映射表

Cyber Kill Chain ATT&CK 战术 说明
侦察 TA0043 Reconnaissance 收集目标信息
武器化 TA0042 Resource Development 准备攻击资源
投递 TA0001 Initial Access 送达攻击武器
利用 TA0002 Execution 执行恶意代码
安装 TA0003 Persistence 建立持久化
C2 TA0010 Command and Control 保持通信
行动完成 TA0009/TA0011/TA0040 完成攻击意图

7.2 检测时机矩阵

graph LR KC[Kill Chain] --> AT[ATT&CK 战术] --> DT[检测时机] KC1[侦察] --> AT1[TA0043] --> DT1[事前预防] KC2[武器化] --> AT2[TA0042] --> DT2[事中检测] KC3[投递] --> AT3[TA0001] --> DT3[边界检测] KC4[利用] --> AT4[TA0002] --> DT4[终端检测] KC5[安装] --> AT5[TA0003] --> DT5[终端检测] KC6[C2] --> AT6[TA0010] --> DT6[网络检测] KC7[行动] --> AT7[TA0040] --> DT7[端+网检测]

八、持续更新与订阅

8.1 版本更新追踪

订阅更新: https://attack.mitre.org/subscribe/

更新通知内容:

更新类型 说明
新技术添加 新发现的攻击技术
子技术扩展 技术细化
战术调整 战术描述更新
映射更新 与其他框架映射更新

8.2 版本历史

版本 日期 主要更新
v13 2023-04 新增云服务相关技术
v14 2024-04 完善 ICS/IT 映射
v15 2025-01 AI 威胁纳入、云原生技术扩展
v16 2025-07 勒索软件专项矩阵

九、参考链接

资源 链接
ATT&CK 官网 https://attack.mitre.org/
ATT&CK Navigator https://attack.mitre.org/resources/navigator/
ATT&CK 订阅 https://attack.mitre.org/subscribe/
中文翻译版 https://sqli101.github.io/Attack/
ATT&CK 工作台 https://mitre-engenuity.github.io/attack-navigator/
MITRE Cyber Analytics Repository https://car.mitre.org/

Last updated: 2026-06-02