筆記-技術-MITRE ATT&CKv16

# Techniques and subtechniques of Mitre Att&ck( Mitre Att&ck的技術與子技術筆記 ) - 由於Mitre Att&ck每幾個月就會改版，寫筆記的今日是2024/11/25，版本為v16 murmur:由於專案需要加上個人需求所以寫乾脆寫筆記好了，寫筆記最大的主因是每次看不同的technique描述常常亂掉(可能是因為太忙導致很健忘)。 ### 附註：以下所有筆記和內容皆是為了研究資訊安全並且進一步加強防禦方的知識基礎而寫。 ## 名詞解釋以下名詞解釋參照[Mitre Att&ck網站](https://attack.mitre.org/) ### Tactic ### Technique ### Procedure Example # Tactic 1. [Reconnaissance「偵查」](https://attack.mitre.org/tactics/TA0043/) - 此階段在收集攻擊目標相關的資料，用於進一步的攻擊 2. [Resourse Development 「資源建立」](https://attack.mitre.org/tactics/TA0042/) - 此階段是建立後續行動會需要的資源 3. [Initail Access 「初始化存取」](https://attack.mitre.org/tactics/TA0001/) - 此階段是如何初始進入到目標系統內 5. [Execution 「執行」](https:// "title") - 此階段是進入到目標系統後如何執行負載(Payloads) 6. [Persistence 「持續潛伏」](https:// "title") - 此階段是進入到系統後如何維持立足點(foothold)(這邊還沒搞懂等我寫完筆記補上) 7. [Privilege Escalation 「權限提升」](https:// "title") - 此階段目標是取得更高等級的權限 8. [Defense Evasion 「防禦規避」](https:// "title") - 此階段目標是繞過防禦系統的偵測 9. [Credential Access 憑證存取](https:// "title") - 此階段目標是竊取登入憑證(也就是帳號和密碼) 10. [Discovery 「發現」](https:// "title") - 跟其他tactic的差別 - 此階段目標是如何進入到系統後收集進一步的環境資訊 11. [Lateral Movement 「橫向移動」](https:// "title") - 此階段是從原受害環境中移動 12. [Collection 「收集」](https:// "title") - 此階段目標是收集目標環境內的目標資訊 14. [Command and Control 「C2指令與控制」](https:// "title") - 此階段為透過遠端對目標系統進行控制 15. [Exfiltration 「滲透」](https:// "title") - 此階段目標為偷取資料 16. [Impact 「衝擊」](https:// "title") - 此階段目標為操弄或是干擾、摧毀目標系統 # Technique ## Reconnaisanse 偵查 - T1595 主動掃描 - T1592 收集受害主機資訊 - T1589 收集受害身分資訊 - T1590 收集受害網路資訊 - T1591 收集受害組織資訊 - T1598 釣魚 - T1597 搜尋閉源資訊 - T1596 搜尋公開網路資料庫 - T1593 蒐集公開網站/網域 - T1594 搜尋受害者所有網站 ## Resource Developnebt 資源發展 - T1650 取得存取權 - T1583 取得基礎設施 - T1586 滲透帳戶利用 - T1587 能力發展 - T1585 建立帳戶 - T1588 購買或偷取以取得能力 - T1608 上傳或安裝以輔助能力新增 - T1584 被滲透的基礎設施利用 ## Initial Access 初始存取 - T1659 內容注入 - T1189 誘導瀏覽攻擊 - T1190 公開資源利用 - T1133 外部服務利用攻擊 - T1200 硬體利用攻擊 - T1566 釣魚 - T1091 可移除式媒體利用攻擊 - T1195 供應鏈滲透 - T1199 信賴關係利用 - T1078 合法帳戶利用 ## Execution 執行 - T1651 雲端管理員指令利用 - T1059 指令與腳本直譯器利用 - T1609 容器管理員指令利用 - T1610 容器部署 - T1203 客戶端漏洞利用執行 - T1559 內部程序通訊 - T1106 原生OS API利用 - T1053 排成任務/工作 - T1648 無伺服器執行 - T1129 共享模組 - T1072 軟體部署工具 - T1569 系統服務 - T1204 使用者執行 - T1047 WMI ## Persistence 持續潛伏 - T1098 帳戶操弄 - T1197 背景智慧型傳送服務(BITS) - T1547 登入或啟動時自動化執行 - T1037 登入或啟動時自動化腳本執行 - T1176 瀏覽器擴充套件 - T1554 主機軟體二進位執行檔滲透 - T1136 創建帳戶 - T1543 創建或修改系統執行緒 - T1546 事件觸發執行 - T1133 外部遠端服務 - T1547 執行流劫持 - T1525 植入內部映像檔 - T1556 修改驗證程序 - T1337 Office應用執行 - T1653 系統狀態設定 - T1542 Pre-OS 執行 - T1053 工作/任務排程 - T1505 伺服器軟體組件 - T1205 連線狀態設定 - T1078 合法帳戶 ## Privilege Escalation 權限提升 - T1548 濫用提權機制 - T1134 存取token操弄 - T1098 帳戶操弄 - T1547 登入或啟動時自動化執行 - T1037 登入或啟動時自動化腳本執行 - T1543 創建或修改系統執行緒 - T1484 網域或租戶政策修改 - T1611 逃逸至主機(從容器逃逸) - T1546 事件觸發執行 - T1068 權限提升漏洞利用 - T1547 執行流擷取 - T1055 執行緒注入 - T1053 任務/工作排成 - T1078 合法帳戶 ## Defense Evasion 防禦規避 - T1548 提權控制機制濫用 - T1134 存取憑證操弄 - T1197 背景智慧型傳送服務 - T1612 於主機上建立映像檔 - T1622 除錯器規避 - T1140 檔案或資訊反混淆/解密 - T1610 容器部署 - T1006 直接容量存取 - T1484 網域或租戶政策修改 - T1564 產物隱藏 - T1574 執行流劫持 - T1480 執行約束 - T1211 防禦規避力漏洞利用 - T1222 目錄或檔案權限修改 - T1202 間接指令執行 - T1562 削弱防禦 - T1656 冒用 - T1070 指標移除 - T1202 間接指令執行 - T1036 偽裝 - T1556 驗證執行緒修改 - T1578 雲端運算基礎設施修改 - T1666 雲端資源層級修改 - T1112 登陸檔修改 - T1601 系統映像檔修改 - T1599 網路連結橋接 - T1027 檔案或資訊混淆 - T1647 屬性列表(Plist)檔案更改 - T1542 Pre-OS 啟動利用 - T1055 執行緒注入 - T1620 掛鉤 - T1207 惡意或未授權網域控制器 - T1014 Rootkit - T1553 信任控制顛覆 - T1218 系統二進位代理執行 - T1216 系統腳本代理執行 - T1221 模板注入 - T1205 連線訊號操弄 - T1127 已信任開發者應用代理執行 - T1535 未使用/不支援的雲端區域 - T1550 替代驗證材料使用 - T1078 合法帳戶 - T1497 虛擬化/沙盒逃逸 - T1600 弱化加密 - T1220 XSL腳本程序 ## Discovery 發現 - T1087 帳戶發現 - T1010 應用程式視窗發現 - T1217 瀏覽器資訊發生 - T1580 雲端基礎設施發現 - T1538 雲端服務儀錶板發現 - T1526 雲端服務發現 - T1619 雲端儲存物件發現 - T1613 容器及資源發現 - T1622 Debugger發現 - T1652 裝置驅動成發現 - T1482 網域信任關係發現 - T1083 檔案或目錄發現 - T1615 群組政策發現 - T1654 記錄檔列舉 - T1046 網路服務發現 - T1135 網路共享發現 - T1040 網路嗅探 - T1201 密碼政策發現 - T1120 周邊裝置發現 - T1069 權限群組發現 - T1057 程序發現 - T1012 登錄檔查詢 - T1018 遙控系統發現 - T1518 軟體發現 - T1082 系統資訊發現 - T1614 系統位置發現 - T1016 系統網路設定發現 - T1049 系統網路連線發現 - T1033 系統使用者/擁有者發現 - T1007 系統服務發現 - T1124 系統時間發現 - T1497 虛擬機器/沙盒發現 ## Lateral Movement 橫向移動 - T1210 遠端服務利用 - T1534 內部魚叉式網路釣魚 - T1570 橫向工具轉移 - T1563 遠端服務session劫持 - T1021 遠端服務 - T1091 透過可移除式裝置複製 - T1072 軟體部署工具 - T1080 共享檔案汙染 - T1550 替代驗證資料利用 - 舉例像是很多系統並非使用密碼驗證而是使用密碼進行hash計算後的值作為驗證(避免密碼外洩)，使用該hash進行驗證存取的攻擊行為即為T1550 ## Collection 蒐集 - T1557 中間人攻擊 - T1560 歸檔(整理蒐集到的檔案) - T1123 音訊擷取 - T1119 自動化蒐集 - T1185 瀏覽階段劫取 - T1115 剪貼簿資料存取 - T1530 雲端資料存取 - T1602 配置資料庫存取 - T1213 資訊資料庫存取 - T1005 本地系統資料存取 - T1039 網路共享資料存取 - T1025 可移除式媒體資料存取 - T1074 資料暫存 - T1114 信箱蒐集 - T1056 輸入劫取 - T1113 螢幕擷取 - T1125 影片擷取 ## C2連線 - T1071 透過通訊層協定連接(連線媒介) - T1092 透過可移除裝置連接 - T1659 內容注入 - T1132 資料加密 - T1001 資料混淆 - T1568 動態解決方案 - T1573 加密通道 - T1008 透過後備通道連線 - T1665 隱藏基礎設施 - T1105 入口工具轉移 ## Exfiltration 滲漏 - 下面寫轉移資料等於是竊取資料 - T1020 自動滲漏(在Collection 蒐集階段後自動化竊取資料和敏感內容) - T1030 限制資料尺寸轉移(避免被偵測)(傳輸條件) - T1048 替代協定轉移(比起使用既有的通訊協定偷走資料使用另類的方式傳輸資料)(傳輸媒介) - T1041 透過C2通道轉移資料(傳輸媒介) - T1011 替代網路媒體轉移(傳輸媒介) - T1052 替代實體媒介轉移(傳輸媒介) - T1567 透過網路服務轉移(傳輸媒介) - T1029 固定排程轉移(固定時間或排定時程轉移)(傳輸時程) - T1537 透過雲端帳戶資料轉移(傳輸對象或媒介) ## Impact 衝擊 - T1531 帳號存取權移除 - T1485 資料毀損 - T1486 資料加密 - T1565 資料操弄(包括插入、刪除、操弄) - 001 針對儲存的資料操弄 - 002 針對傳輸的資料操弄 - 003 針對執行階段的資料操弄 - T1491 汙損 - (操弄視覺內容，包括傳送恫嚇訊息和宣稱已經滲透系統等都算) - 舉例：替換掉某個網頁內容替換成惡意訊息 - T1561 磁碟清除 - T1499 端點拒絕服務(DoS攻擊) - T1657 經濟竊取 - T1495 韌體毀損(舉例像是強制複寫硬體) - T1490 資料復原防範 - T1498 網路拒絕服務(DoS攻擊) - T1496 運算資源劫取 - 利用受害者系統進行運算挖礦都算這個裡面 - T1489 服務停止 - T1529 系統關閉/重啟