MITRE ATT&CK 框架中的战术(Tactics)是描述网络攻击者在攻击生命周期中的不同阶段和目的的类别。每个战术涵盖了攻击者在特定阶段可能采用的一系列技术。截至我最后的更新(2023年4月),以下是一些主要的战术分类及其举例说明:
-
初始访问 (Initial Access): 攻击者如何首次获得对受害者系统的访问权。例如,通过钓鱼邮件、利用公共面向服务的漏洞,或者利用供应链攻击来获得初始入口。
-
执行 (Execution): 攻击者如何在受害者系统上执行恶意代码。例如,通过运行恶意脚本、利用系统漏洞执行代码,或者通过合法的应用程序执行恶意操作。
-
持久性 (Persistence): 攻击者如何在系统重启后保持对受害系统的控制。这可能包括修改系统启动项、创建或劫持用户账户,以确保他们可以重新获得对系统的访问。
-
特权升级 (Privilege Escalation): 攻击者如何获得更高级别的访问权限,例如从普通用户权限升级到管理员权限。这可能通过利用系统漏洞或配置错误实现。
-
防御规避 (Defense Evasion): 攻击者如何避免被安全软件或策略检测到。这可能包括修改恶意文件的特征、关闭或破坏安全软件,或者利用加密和混淆技术。
-
凭证访问 (Credential Access): 攻击者如何窃取用于访问系统和网络资源的用户凭证。这包括利用键盘记录器、窃取记忆中的凭证,或者利用账户恢复工具。
-
横向移动 (Lateral Movement): 攻击者如何在网络中从一个系统移动到另一个系统。这可能通过使用窃取的凭证、利用网络协议漏洞,或者使用远程桌面协议实现。
-
收集 (Collection): 攻击者如何收集目标信息,例如文件、电子邮件或者敏感数据。这可能包括数据从存储设备、网络交通或用户输入中提取。
-
指挥与控制 (Command and Control): 攻击者如何与受控系统通信并维持控制。这通常涉及到使用远程服务器、加密通信协议或其他隐蔽通信方法。
-
影响 (Impact): 攻击者如何对受害者的系统、数据或网络功能造成负面影响。这可能包括删除或加密关键数据(如勒索软件攻击)、干扰系统运行或服务拒绝攻击。
这些战术是对网络攻击行为进行分类和分析的重要框架,帮助安全团队更好地理解和应对网络威胁。每个战术下都有一系列相关的技术和程序,这些详细的分类为识别、防御和缓解网络攻击提供了具体的指导。
标签:CK,如何,系统,攻击者,ATT,MITRE From: https://www.cnblogs.com/zhaoyong631/p/17963130