ATT*CK的核心组件定义

1. IOC威胁情报

含义:一般为网络流量中或者操作系统上观察到的能高度表明计算机被入侵的痕迹.将这些特征收集整理为库,下次再表现如此特征就确定计算机已经被入侵了.

2. ATT*CK是什么

ATTCK是MITRE公司在2013年退出的.将已知攻击者行为转化为结构化列表,将这些已知的行为汇总成为战术和技术.ATT*CK中文名称为"对抗战术,技术和常识".

2.1 ATTck的核心组件

1. 战术（Tactics） 描述攻击者在不同阶段的目标，例如：
   • 侦察（Reconnaissance）：收集目标信息
   • 初始访问（Initial Access）：获取网络入口（如钓鱼攻击）
   • 横向移动（Lateral Movement）：在内网扩散控制权 共包含14个标准战术，覆盖从前期准备到攻击后影响的完整生命周期。
2. 技术（Techniques） 实现战术的具体手段，例如：
   • T1566（网络钓鱼）：通过伪造邮件或链接诱导受害者；
   • T1059（命令与脚本解释器）：利用PowerShell等工具执行恶意代码。 每种技术附带详细描述、检测方法及缓解措施。
3. 子技术（Sub-Techniques） 对技术的进一步细化，例如权限提升技术（T1068）可能涉及漏洞利用或配置滥用。
4. 案例与数据（Procedures & References） 基于真实攻击事件的技术实例（如APT组织攻击手法）及数据来源（如CVE、开源情报

2.2 ATTCK的矩阵模型组成

1. 企业版矩阵（Enterprise Matrix） 覆盖Windows、Linux、云环境等平台，包含14个战术和数百项技术，适用于企业级攻防场景。:攻击时的部分已知技术手段,例如访问初始化、执行、常驻、提权、防御规避、访问凭证、发现、横向移动、收集、数据获取、命令和控制等。
2. 移动版矩阵（Mobile Matrix） 针对iOS、Android等移动端攻击行为设计，涵盖设备越狱、恶意应用等技术。移动端的部分已知技术手段、移动框架和 Enterprise类似，只是适用的平台不同。
3. PRE-ATT&CK 专注于攻击前阶段，包括目标选择、漏洞开发、基础设施搭建等.攻击前的准备，例如优先级定义、目标选择、信息收集、发现脆弱点、攻击性利用开发平台，建立和维护基础设施、人员的开发、建立能力和分段能力等。

2.3 14项战术

1. 侦察（Reconnaissance）

攻击者主动或被动收集目标信息（如组织架构、基础设施、员工信息），为后续攻击规划提供依据。

1. 资源开发（Resource Development）

建立攻击所需的资源，包括基础设施（如域名、服务器）、账户（如伪造的社交媒体账号）或恶意功能（如定制化工具）。

1. 初始访问（Initial Access）