学习黑客 ATTCK
一句话概括:把 MITRE ATT&CK 当成黑客世界的《怪物图鉴》与《升级路线》——它把真实攻击招式拆成“关卡目标 (战术) + 技能树 (技术) + 实战录像 (过程)”,蓝队像打 RPG 一样根据矩阵练级、补装备、刷检测。
(下文配合“闯副本”比喻,帮助快速记忆)
1 ATT&CK 的世界观
- 官方出品:由 MITRE 维护的开源对手战术技术知识库,最早公开于 2015 年,当前版本 v17.0 (2025-04) oai_citation:0‡MITRE ATT&CK
- 数据量:Enterprise 矩阵含 14 大战术、近 200 技术、468 子技术,覆盖 Windows/macOS/Linux、Cloud、SaaS、ESXi 等场景 oai_citation:1‡MITRE ATT&CK oai_citation:2‡MITRE ATT&CK oai_citation:3‡MITRE ATT&CK
- 三层结构
- Tactic = 关卡目标(如横向移动、权限提升)
- Technique = 怪物招式(如 Pass-the-Hash、PowerShell)
- Procedure = 实战录像——APT 或恶意软件的具体操作脚本,MITRE 还发布了官方 APT3 等演练剧本 oai_citation:4‡MITRE ATT&CK
2 十四大关卡(战术)=升级路线
| 关卡 | 副本剧情 | 常见招式示例 |
|---|---|---|
| Initial Access | 入门村口,怪物摸门 | Spear-phishing, Supply Chain |
| Execution | 施法房,开始放技能 | PowerShell, Macro, Python |
| Persistence | 存档点,插复活点 | Registry Run Key, SSH keys |
| Priv-Esc | 升级大厅,偷经验 | Kernel Exploit, sudo 提权 |
| Defense Evasion | 闪避训练 | Delete Logs, Obfuscate |
| Credential Access | 偷钥匙房 | LSASS Dump, Brute Force |
| Discovery | 探索迷雾地图 | Network Scan, Account Query |
| Lateral Movement | 传送门 | RDP, SMB, Pass-the-Hash |
| Collection | 抢宝箱 | Screen Capture, Clipboard |
| Exfiltration | 偷跑路线 | HTTPS Upload, Dead-Drop |
| C2 | 召援军 | DNS Tunnel, WebSocket |
| … | … | … |
记忆技巧:先把 14 关卡按“进门→蓄力→扩散→撤离”顺序串成剧情,技术只是关卡里的招式。
3 四大流派:如何把 ATT&CK 用进工作
3.1 侦察猎魔派 (Threat Hunting)
用 ATT&CK 矩阵把 SIEM/EDR 告警对号入座,热图高亮盲区,再写规则补坑 oai_citation:5‡MITRE
3.2 情报炼金派 (Threat Intelligence)
APT 团伙都用统一技术编号描述,情报报告一目了然、便于关联分析 oai_citation:6‡The Security Validation Platform
3.3 红队演武场 (Adversary Emulation)
照 APT3 官方剧本编排演练,蓝队对照矩阵检验检测覆盖度 oai_citation:7‡MITRE ATT&CK
3.4 能力评估师 (Assessment & Engineering)
用 ATT&CK Navigator 给检测/日志做“装备栏”热度图,告诉老板该买什么防御产品 oai_citation:8‡MITRE ATT&CK
4 实战漫画:一次打怪练级的流程
- 识敌:EDR 告警 PowerShell ⇒ 映射 Execution/PowerShell
- 预测:同时发现 LSASS Dump ⇒ 推测下步 Pass-the-Hash
- 阻断:蓝队先手隔离主机、收集内存取证
- 刷经验:发现日志缺 “Obfuscated Files” 检测 ⇒ 补 Sysmon+YARA 规则
整过程就是“描点-推演-反制-复盘”的 RPG 循环。
5 新地图与后续副本
- ATT&CK 每半年更新,v17 新增 SaaS / ESXi 等平台 oai_citation:9‡MITRE ATT&CK
- MITRE 推出防御端矩阵 D3FEND,CISA 推出 DEC,把“怪物招式”连上“防御动作” oai_citation:10‡MITRE D3FEND Knowledge Graph oai_citation:11‡网络安全和基础设施安全局
- 官方 Navigator、Workbench、STIX/TAXII 接口均免费开源,可直接二开 oai_citation:12‡MITRE ATT&CK
结语
视 ATT&CK 为“游戏图鉴”:每掌握一招技术 = 收到一张怪物卡;每补齐一格检测 = 给自己加一层护盾。祝你在这片攻防大陆越练越强,打怪升级永不 AFK!
技术使用声明
- 合法使用前提:本文所涉及的一切技术、工具及操作方法,仅适用于已获得明确书面授权的网络安全测试、系统维护及安全评估场景。任何使用行为必须严格遵守中华人民共和国现行有效的法律法规,包括但不限于《中华人民共和国网络安全法》《中华人民共和国刑法》《计算机信息网络国际联网安全保护管理办法》等相关规定。未经授权的网络扫描、渗透测试、数据获取等行为均属于违法行为,本人对此持坚决反对态度。
- 法律责任界定:若他人擅自使用本文所述技术、工具或方法实施任何违法犯罪活动,一切法律责任及后果均由实际使用者自行承担,与本人及内容发布主体无任何关联。本人及内容发布主体不承担任何形式的连带责任或替代责任。
- 风险告知与警示:网络安全领域的技术操作具有高度专业性和潜在风险性,不当使用可能导致网络系统瘫痪、数据泄露、隐私侵犯等严重后果,并引发法律纠纷及刑事责任。在未取得合法授权的情况下,严禁进行任何网络安全测试相关操作。
- 内容用途限制:本文内容仅用于网络安全技术知识分享、合法合规的学术研究及专业技术交流,不构成任何形式的操作指引或行为鼓励。读者应自行判断使用场景的合法性,并对自身行为负责。
请使用者务必严格遵守法律规定,共同维护网络空间的安全与秩序。