谁不曾梦想鲜衣怒马
快意恩仇
仗剑走天涯
每一个热血少年都曾渴望
练就一套盖世神功
打抱不平
恣意江湖
向来都是险象环生
唯有深谙攻击者的套路
将黑客行为熟谙于心
才能无惧江湖中的风起云涌
灵活变通,无惧挑战
还网络安全一片净土
集天下安全之士之大成
左手攻击,右手防御
针对ATT&CK框架中的常用攻击技术
提出了有效的应对之策
凭此秘籍
让您不仅能够防守有道
更能先行一步,布下天罗地网
将心怀恶意的攻击者一网打尽
话不多说 ,干货奉上!
序号 | ATT&CK 攻击技术 | 防守方机会空间 | AD 防御技术 | 实践用例 |
1 | T1001 - 数据混淆 | 可以检测到攻击活动使用了混淆技术。 | DTE0028 - PCAP 收集 | 防守方可以捕获失陷系统的网络流量,并寻找可能表示数据混淆的异常网络流量。 |
2 | T1001 - 数据混淆 | 可以发现攻击者试图隐藏数据,避免让防守方发现。 | DTE0031 - 协议解码器 | 防守方可以开发协议解码器,解密网络捕获数据并公开攻击者的命令与控制流量及其渗透活动。 |
3 | T1003 - OS 凭据转储 | 可以部署绊索,当攻击者接触到网络资源或使用特定技术时就会触发警报。 | DTE0012 - 凭据诱饵 | 防守方可以在系统的各个位置布置诱饵骗凭据,并建立警报,如果攻击者获取了凭据并尝试使用这些凭据,则将触发警报。 |
4 | T1005 - 从本地系统收集敏感数据 | 在对抗交战场景下,可以通过确保本地系统存储着大量内容来增强真实性。 | DTE0030 - 文件诱饵 | 防守方可以部署各种文件诱饵,提高本地系统的真实性。 |
5 | T1005 - 从本地系统收集敏感数据 | 在对抗交战场景下,可以提供有关各种主题的内容,查看哪些类型的信息会引起攻击者的兴趣。 | DTE0030 - 文件诱饵 | 防守方可以部署各种文件诱饵,确定攻击者是否对特定文件类型、主题等感兴趣。 |
6 | T1006 - 直接访问卷 | 防守方可以观察攻击者并控制他们可以看到哪些东西、可以产生什么影响和/或可以访问哪些数据。 | DTE0036 - 软件修改、监控 | 防守方可以使用与直接存取卷相关的API调用,查看正在进行什么活动、正在传输什么数据,或影响该API的调用功能。 |
7 | T1007 - 发现系统服务 | 防守方可以观察攻击者并控制他们可以看到哪些东西、可以产生什么影响和/或可以访问哪些数据。 | DTE0003 - API 监控 | 防守方可以监控和分析操作系统的功能调用,以进行检测和报警。 |
8 | T1007 - 发现系统服务 | 防守方可以观察攻击者并控制他们可以看到哪些东西、可以产生什么影响和/或可以访问哪些数据。 | DTE0036 - 软件修改、监控 | 防守方可以修改命令,显示攻击者希望在系统上看到的服务,或向他们显示其意料之外的服务。 |
9 | T1008 - 备用通信信道 | 可以修改网络,允许/拒绝某些类型的流量,对网络流量进行降级或以其他方式影响攻击者的活动。 | DTE0026 - 网络变换 | 防守方可以识别并拦截特定的攻击命令和控制(C2)流量,查看攻击者的响应方式,这可能会让攻击者暴露其他C2信息。 |
10 | T1010 - 应用程序窗口发现 | 可以为攻击者提供各种应用程序,这样在攻击者进行发现任务时,防守方就可以发现完整信息。 | DTE0004 - 应用仿真 | 在对抗交战场景下,防守方可以打开并使用系统上安装的应用程序的任何特定子集,控制在什么时间点向攻击者提供什么内容。 |
11 | T1011 - 其他网络介质的数据渗漏 | 在对抗交战场景下,可以实施安全控制措施,这有助于在长期交战中实现防御目标。 | DTE0032 - 安全控制措施 | 防守方可以阻止攻击者启用Wi-Fi或蓝牙接口,防止其连接到周围的接入点或设备并用于数据渗出。 |
12 | T1012 - 查询注册表 | 防守方可以观察攻击者并控制他们可以看到哪些东西、可以产生什么影响和/或可以访问哪些数据。 | DTE0011 - 诱饵 | 防守方可以创建注册表对象诱饵,并使用Windows注册表审计来监控对这些注册表对象的访问情况。 |
13 | T1014 - Rootkit | 可以阻止攻击者的计划行动,并迫使他们暴露其他TTP。 | DTE0001 - 管理员访问权限 | 防守方可以删除管理员访问权限,迫使攻击者执行权限升级来安装Rootkit。 |
14 | T1014 - Rootkit | 在对抗交战场景下,可以采取安全控制措施,让攻击者完成一个任务并扩大交战范围。 | DTE0032 - 安全控制措施 | 在对抗交战场景下,防守方可以确保,通过安全控制措施,不受信代码旨在一个系统上执行。 |
15 | T1016 - 系统网络配置发现 | 可以影响攻击者,引导其转向你希望与他们交战的系统上来。 | DTE0011 - 诱饵 | 防守方可以创建面包屑或蜜标,诱使攻击者使用系统诱饵或网络服务。 |
16 | T1018 - 远程系统发现 | 防守方可以观察攻击者并控制他们可以看到哪些东西、可以产生什么影响和/或可以访问哪些数据。 | DTE0036 - 软件修改、监控 | 防守方可以更改远控命令的输出,隐藏您不想受到攻击的模拟元素,并提供您希望与攻击者开战的模拟元素。 |
17 | T1018 - 远程系统发现 | 在对抗交战场景下,可以通过确保系统诱饵中都是攻击者期望在侦察过程中看到的信息来提高真实性。 | DTE0011 - 诱饵 | 防守方可以在系统诱饵的ARP缓存表、主机文件等中创建条目,提高设备的真实性。 |
18 | T1020 - 自动化数据渗出 | 可以收集网络数据并分析其中包含的攻击者活动。 | DTE0028 - PCAP 收集 | 收集所有网络流量的完整数据包捕获信息后,您可以查看通过网络连接发生了什么情况,并确定命令和控制流量和/或数据渗出活动。 |
19 | T1020 - 自动化数据渗出 | 可以发现攻击者试图隐藏数据,避免让防守方发现。 | DTE0031 - 协议解码器 | 防守方可以开发协议解码器,解密网络捕获数据并公开攻击者的命令与控制流量及其渗透活动。 |
20 | T1021 - 远程服务 | 可以通过网络流量的监控,确定不同协议、异常流量模式、数据传输等,确定是否存在攻击者。 | DTE0027 - 网络监控 | 防守方可以对异常的流量模式、大量或意外的数据传输以及可能显示存在攻击者的其他活动进行网络监控并发出报警。 |
21 | T1021 - 远程服务 | 在对抗交战场景下,可以引入系统诱饵,从而影响攻击者的行为或让您观察他们是如何执行特定任务的。 | DTE0017 - 系统诱饵 | 防守方可以部署一个运行远程服务的系统诱饵(例如telnet、SSH和VNC),并查看攻击者是否尝试登录该服务。 |
22 | T1025 - 来自可移动介质的数据 | 在对抗交战场景下,可以通过部署内容来影响攻击者的行为,测试他们对特定主题的兴趣或提高系统或环境的真实性。 | DTE0030 - 文件诱饵 | 防守方可以在附加存储空间中部署各种文件诱饵。数据可能包括与特定人物角色相匹配的主题、攻击者感兴趣的主题等。 |
23 | T1025 - 来自可移动介质的数据 | 在对抗交战场景下,可以提供有关各种主题的内容,查看哪些类型的信息会引起攻击者的兴趣。 | DTE0030 - 文件诱饵 | 防守方可以部署各种文件诱饵,确定攻击者是否对特定文件类型、主题等感兴趣。 |
24 | T1027 - 混淆的文件或信息 | 在对抗交战场景下,可以引入系统诱饵,从而影响攻击者的行为或让您观察他们是如何执行特定任务的。 | DTE0017 - 系统诱饵 | 防守方可以部署系统诱饵来研究攻击者如何以及何时混淆文件并隐藏信息。 |
25 | T1029 - 计划传输 | 可以通过网络流量的监控,确定不同协议、异常流量模式、数据传输等,确定是否存在攻击者。 | DTE0027 - 网络监控 | 防守方可以对异常的流量模式、大量或意外的数据传输以及可能显示存在攻击者的其他活动进行网络监控并发出报警。 |
26 | T1030 - 限制数据传输大小 | 可以收集网络数据并分析其中包含的攻击者活动。 | DTE0028 - PCAP 收集 | 收集所有网络流量的完整数据包捕获信息后,您可以查看通过网络连接发生了什么情况,并确定命令和控制流量和/或数据渗出活动。 |
27 | T1030 - 限制数据传输大小 | 可以使用工具和控件来阻止攻击者的活动。 | DTE0031 - 协议解码器 | 防守方可以开发协议解码器,解密网络捕获数据并公开攻击者的命令与控制流量及其渗透活动。 |
28 | T1033 - 发现系统所有者/用户 | 防守方可以观察攻击者并控制他们可以看到哪些东西、可以产生什么影响和/或可以访问哪些数据。 | DTE0036 - 软件修改、监控 | 防守方可以通过修改或替换展示系统用户的常用命令来影响攻击者的活动。 |
29 | T1036 - 伪装 | 可以通过识别和警告异常行为,检测是否存在攻击者。 | DTE0007 - 行为分析 | 防守方可以在非标准位置或正在创建异常进程或连接的文件中查找已知文件。 |
30 | T1037 - 登录脚本 | 可以利用登录脚本的完好副本并经常进行恢复还原,防止攻击者反复使用这些脚本来启动恶意软件。 | DTE0006 - 基线 | 防守方可以频繁重复地将系统还原到经过验证的基线,消除攻击者的持久化机制。 |
31 | T1039 - 网络共享驱动器中的数据 | 在对抗交战场景下,可以通过部署内容来影响攻击者的行为,测试他们对特定主题的兴趣或提高系统或环境的真实性。 | DTE0030 - 文件诱饵 | 防守方可以在附加存储空间中部署各种文件诱饵。数据可能包括与特定人物角色相匹配的主题、攻击者感兴趣的主题等。 |
32 | T1039 - 网络共享驱动器中的数据 | 在对抗交战场景下,可以提供有关各种主题的内容,查看哪些类型的信息会引起攻击者的兴趣。 | DTE0030 - 文件诱饵 | 防守方可以部署各种文件诱饵,确定攻击者是否对特定文件类型、主题等感兴趣。 |
33 | T1040 - 网络嗅探 | 防守方可以观察攻击者并控制他们可以看到哪些东西、可以产生什么影响和/或可以访问哪些数据。 | DTE0036 - 软件修改、监控 | 通过更改通常在系统上找到的网络嗅探程序的输出结果,可以防止攻击者看到特定内容或防止攻击者使用结果。 |
34 | T1040 - 网络嗅探 | 可以向攻击者展示诱饵进程,以影响其行为,测试其兴趣或提高系统或环境的真实性。 | DTE0016 - 进程诱饵 | 防守方可以在真实系统上运行进程,创建网络工件供攻击者收集。这些工件可能包含诸如凭据、主机名等数据,从而引导攻击者将系统诱饵和网络作为目标。 |
35 | T1040 - 网络嗅探 | 可以诱使攻击者公开其他TTP。 | DTE0025 - 网络仿真 | 防守方可以添加更多不同端点、服务器、路由器和其他设备,让攻击者拥有更广泛的攻击面。这可能导致攻击者暴露其他功能。 |
36 | T1041 - 使用命令与控制信道窃取 | 可以通过阻止/取消阻止到达其命令和控制(C2)位置的流量,阻止或允许攻击者的渗透活动。 | DTE0026 - 网络变换 | 防守方可以通过阻止/取消阻止不必要的端口和协议来阻止或允许使用替代协议进行数据渗出。 |
37 | T1041 - 使用命令与控制信道窃取 | 可以通过阻止/取消阻止到达其命令和控制(C2)位置的流量,阻止或允许攻击者的渗透活动。 | DTE0026 - 网络变换 | 防守方可以限制网络流量,降低攻击者的数据渗出速度或降低渗出数据的可靠性。 |
38 | T1046 - 网络服务扫描 | 防守方可以观察攻击者并控制他们可以看到哪些东西、可以产生什么影响和/或可以访问哪些数据。 | DTE0036 - 软件修改、监控 | 防守方可以更改远控命令的输出,隐藏您不想受到攻击的模拟元素,并提供您希望与攻击者开战的模拟元素。 |
39 | T1046 - 网络服务扫描 | 可以研究攻击者并收集有关攻击者及其工具的第一手资料。 | DTE0017 - 系统诱饵 | 防守方可以将系统诱饵添加到网络中,从而让攻击者可以使用多种网络服务。防守方可以观察攻击者在试图使用哪些网络服务。 |
40 | T1047 - WMI | 在对抗交战场景下,可以允许或限制管理员访问权限,从而有助于您实现防御目标。 | DTE0001 - 管理员访问权限 | 防守方可以从本地用户中删除管理员访问权限,防止攻击者利用WMI。 |
41 | T1047 - WMI | 可以实施安全控制措施,阻止攻击者使用Windows管理规范 | DTE0032 - 安全控制措施 | 防守者可以加固具有管理员访问权限的帐户,还可以限制任何用户使用WMI进行远程连接。 |
42 | T1048 - 备用协议上的数据渗出 | 可以通过阻止/取消阻止到达其命令和控制(C2)位置的流量,阻止或允许攻击者的渗透活动。 | DTE0026 - 网络变换 | 防守方可以通过阻止/取消阻止不必要的端口和协议来阻止或允许使用替代协议进行数据渗出。 |
43 | T1049 - 系统网络连接发现 | 防守方可以观察攻击者并控制他们可以看到哪些东西、可以产生什么影响和/或可以访问哪些数据。 | DTE0036 - 软件修改、监控 | 防守方可以修改、监控列举系统网络连接的常用命令的输出结果。他们可以使用系统诱饵和/或网络来修改 |
44 | T1052 - 物理介质上的数据渗出 | 可以通过控制交战环境的各个方面来确定攻击者的能力或偏好。 | DTE0029 - 外围设备管理 | 防守方可以使用诱饵外围设备(例如外部Wi-Fi适配器、USB设备等)来确定攻击者是否试图使用这些设备用于数据渗出。 |
45 | T1053 - 计划任务 | 可以研究攻击者并收集有关攻击者及其工具的第一手资料。 | DTE0001 - 管理员访问权限 | 防守方可以在系统上启用管理员访问权限,查看攻击者是否利用该访问权限来创建计划任务以启动其恶意软件或工具。 |
46 | T1053 - 计划任务 | 可以研究攻击者并收集有关攻击者及其工具的第一手资料。 | DTE0017 - 系统诱饵 | 防守方可以配置具有有限限制的系统诱饵,查看攻击者是否创建或更改了计划任务以启动其恶意软件。 |
47 | T1053 - 计划任务 | 可以进行成功概率适度偏高的检测。 | DTE0034 - 系统活动监控 | 如果攻击者创建了新的计划任务或更改了现有任务,则防守方可以捕获系统活动日志并生成警报。 |
48 | T1055 - 进程注入 | 在对抗交战场景下,可以实施安全控制措施,这有助于在长期交战中实现防御目标。 | DTE0032 - 安全控制措施 | 防守方可以实施安全控制措施,以影响进程注入技术,例如AppLocker或旨在监控CreateRemoteThread事件的防病毒/EDR工具。 |
49 | T1056 - 捕获用户输入 | 可以向攻击者提供内容,以影响其行为,测试其对特定主题的兴趣或提高系统或环境的真实性。 | DTE0011 - 诱饵 | 防守方可以使用键盘记录器或其他工具将诱饵数据提供给攻击者,从而形成对抗。 |
50 | T1057 - 进程发现 | 防守方可以观察攻击者并控制他们可以看到哪些东西、可以产生什么影响和/或可以访问哪些数据。 | DTE0036 - 软件修改、监控 | 防守方可以修改命令,不再显示正在运行的进程的真实列表,从而向攻击者隐藏了必要的主动防御进程。 |
51 | T1057 - 进程发现 | 可以向攻击者展示诱饵进程,以影响其行为,测试其兴趣或提高系统或环境的真实性。 | DTE0016 - 进程诱饵 | 防守方可以在系统上运行诱饵进程来吸引攻击者。 |
52 | T1059 - 命令行界面 | 防守方可以观察攻击者并控制他们可以看到哪些东西、可以产生什么影响和/或可以访问哪些数据。 | DTE0036 - 软件修改、监控 | 防守方可以修改、监控系统命令的输出结果,更改攻击者在其活动期间可能使用的信息。 |
53 | T1059 - 命令行界面 | 防守方可以观察攻击者并控制他们可以看到哪些东西、可以产生什么影响和/或可以访问哪些数据。 | DTE0036 - 软件修改、监控 | 防守方可以修改用于删除文件的命令功能,以便在删除文件之前将文件复制到一个安全位置。 |
54 | T1059 - 命令行界面 | 防守方可以观察攻击者并控制他们可以看到哪些东西、可以产生什么影响和/或可以访问哪些数据。 | DTE0034 - 系统活动监控 | 防守方可以通过监控他们在系统上执行的命令和/或脚本创建的进程来检测是否存在攻击者。 |
55 | T1068 - 利用漏洞进行权限升级 | 可以研究攻击者并收集有关攻击者及其工具的第一手资料。 | DTE0001 - 管理员访问权限 | 防守方可以将系统用户配置为没有管理员访问权限,确保要通过漏洞利用才能进行权限升级。 |
56 | T1069 - 组权限发现 | 在对抗交战场景下,可以影响攻击者在系统上执行命令时能够看到哪些内容。 | DTE0036 - 软件修改、监控 | 防守方可以修改、监控系统的软件来更改攻击者显示组权限信息的结果。 |
57 | T1070 - 删除主机上的指标 | 在对抗交战场景下,可以允许或限制管理员访问权限,从而有助于您实现防御目标。 | DTE0001 - 管理员访问权限 | 防守方可以限制管理员访问权限,迫使攻击者提升权限,删除系统中的日志和捕获的工件。 |
58 | T1070 - 删除主机上的指标 | 可以通过识别和警告异常行为,检测是否存在攻击者。 | DTE0007 - 行为分析 | 防守方可以查找系统上命令执行的异常情况。这可能会暴露潜在的恶意活动。 |
59 | T1071 - 标准应用层协议 | 可以通过网络流量的监控,确定不同协议、异常流量模式、数据传输等,确定是否存在攻击者。 | DTE0027 - 网络监控 | 防守方可以对异常的流量模式、大量或意外的数据传输以及可能显示存在攻击者的其他活动进行网络监控并发出报警。 |
由于内容太多 我就不一 一列举出来了
需要本手册(高清电子PDF版)的朋友可以素质三连一波 然后私信【手册】 免费领取
