你眼中的ATT＆CK vs 我眼中的ATT＆CK

这篇想写的一个原因，想以一个安全咨询顾问视角，给到SE、前端、后端涉及方案建设的安全人员提供一定思路扩展。从一个更宽广的维度去看ATT&CK模型（因为当前会看到很多大厂都在拿着这个模型去聊，无论现在的安全产品及安全服务都有涉及）。

文章其实偏理解及主观，算是个讨论的引子，存在部分不严谨欢迎指正！各位看官若有幸看到本文，欢迎评论区抒发自己的观点，这里放我一个观点，有些时候，我并不认为现行的很多框架模型滥用，就一定是对的，而现在的时代，确实也缺乏真正价值的讨论。

概述比较长，我研究的也不深刻算是专长下的业余科普，这个专题大概会分几个章节完成，也希望在完成本专题后，不仅自己，更重要的是可以带动更多的安全从业者，去思考且深度理解最佳实践，为行业客户提供帮助。

第一章规划就是总述攻击链模型前端侧的应用场景，再就是攻击链第七环-Discovery。后面章节我会挑我熟悉的再做见解。

ATT&CK是什么

ATT&CK模型最早是MITRE这个公司/组织提出来的，框架在官方Twitter可以看到，简单来说：一种描述攻击全生命周期的知识模型。

既然是攻击全生命周期的知识模型，理论上用于说明当前应用于安全建设的多样化场景（不区分技术产品）可以说无敌（因为很好用且有效，加入你产品、服务的灵魂，就可以类似于魂斗罗模式下配了ss dadada），它涵盖了安全建设过程全生命周期，即通过攻击视角来看有哪些阶段且做了什么，所以安全问题利用这个模型去解释，一定是最普适大众的，因为目前安全的本质是攻防对抗。

这个模型原则上，无论做的是产品还是服务，利用此框架的理解，去结合自身产品及服务层面，方式会变得多种多样。而若可结合此框架，加入理解深度，则对于这个框架的理解和见解会有不同。

所以用安全咨询的话术及知识体系概括，严格意义上，ATT&CK是一种最佳实践。很多人对最佳实践、方法论感到反感，或不知如何下手使用辅助自身开展工作，最佳实践一定是一定条件下被很多案例证实可行性而得出的框架标准，只需理解框架，在实际工作中运用即可。

Pic 1：MITRE ATT&CK（Pictures from Twitter @ATT&CK ）

Pic 2：MITRE ATT&CK（Pictures from MITRE ）

简述ATT&CK 纵轴维度14个，涵盖14项，可以理解为攻击方式/攻击操作步骤：

侦察

资源开发

Initial Access入口点

Execution命令执行

Persistance持久化

PrivilegeEscalation权限提升

DefenseEvation绕过防御

Credential Access凭证访问

Discovery发现（基础信息收集）

lateral-movement横向渗透

Collection 采集

C&C命令与控制

Exfiltration信息窃取

impact 影响力

简单概括下以上步骤内容：

侦察：即同于踩点，包括收集行动必要的信息，如通过网络嗅探、主动扫描、硬件、网络、目标攻击对象的身份信息、物理位置、业务关系等信息。

资源开发：即使用攻击目标的资源开展攻击，例如通过使用攻击目标的虚拟专用主机、服务器、域等。

发现/基础信息收集：与侦察不同的是，此阶段通过基础信息收集主要为收集内部信息，明确攻击方式及方向，通过系统内部信息及关联信息，采用网络扫描、设备发现、密码发现等，包括域名信息、本地账户、域控组、系统用户发现等。

绕过防御：通过有效方式，用来避免在整个攻击过程中被发现的技术。实际包括安全产品绕过、用户账户绕过均算。

采集：采集不同于基础信息收集，其目标为窃取数据，此处会涉及社会工程学、自动化脚本工具的信息收集，另一方面键盘记录、剪贴板查询信息、GUI输入捕捉、电子邮件、有效的信息系统资源库、API关联信息均署于信息采集形式，在这个操作流程之下

应用实例A-渗透测试

例如我们以渗透测试为例（此处淡化掉一些核心点，包括不讨论测试的真实目的（重视外围攻击弱点还是内部业务系统脆弱性）或者采用的测试手段（所谓的黑白灰））

举个例子，实际上提升分为三部：

1、现状：当我们在描述或传递渗透测试这项服务内容时，通常我们会以攻击方式、攻击手段、渗透测试实质（是一项通过模仿黑客身份，以攻击者视角开展的测试活动），攻击目的（分为外围测试、内部测试，侧重点不同），攻击方式（黑盒测试、白盒测试、灰盒测试）来去描述整个渗透测试服务内容及流程。

2、尝试带入ATT&CK：如果带入ATT&CK攻击链，以ATT&CK框架去表述渗透测试内容，则会将上述内容具象化及技术化。

大致将渗透测试的流程以技术方式及特点描述流程：

“侦察-入口点–基础信息收集–命令执行–绕过防御–获取凭证–持久化–权限提升-C&C命令控制-资源开发-横向渗透-采集-信息窃取”的流程进行描述整个渗透测试的攻击流程阶段。

3、提升及综合运用：目前提供一个可证明且可以有效提升渗透测试服务价值的思路，图我先略过，这块留个问题给大家思考下，如果应用ATT&CK模型去做渗透测试，那么我们除了提交客户渗透测试报告外，我们还可以提交哪些有价值的输出物及想法，使得客户方可以感受到专业度及价值？（评论区见）

ATT&CK广式应用场景解读

除了上面写的例子外，再来延伸下。

ATT&CK具体应用于安全的业务场景通过开展对最佳实践理解，应用拓展范围可以覆盖：

A.常态化安全服务：传统渗透测试、漏洞扫描、风险评估、应急响应（几乎都可以用这个攻击链形容，比如渗透测试阶段为例，ATT&CK流程几乎得到覆盖。比如在风评+应急响应的安全业务模式下）

B.HW及行业攻防实战演练：这部分业务场景通常以ATT&CK视角及攻击链流程，从红队、蓝队两个角度的攻击、防御建设出发，结合ATT&CK每个流程，去构建攻击防御的手段及措施。

C.安全产品应用覆盖：比如以蜜罐、态势感知、SIEM、定向化入侵检测产品（如基于Web的入侵检测产品），甚至以安全为核心的NTA产品，均可通过ATT&CK框架中的环节，定向到其产品核心可实现的如流量获取、分析、威胁判定、威胁攻击者的画像获取等功能。

来谈谈ATT&CK中的信息收集

我们先以外围信息收集来看收集有效关键信息（包括不限于踩点扫描信息、入口点信息等）。

这部分目前实际实战过程中，目前除了漏扫、蜜罐外，很多开源自动化应用、产品即可实现短时间内的信息收集及检索，比如通过自动化实现资产发现（探测）及存在的敏感信息收集（多为外网），着实提升效率。

除此之外，nmap、msf、搜索引擎、操作系统指令（systeminfo）、系统中的软件、硬件、账户、策略、注册表以及网站爬虫亦可作为信息收集利器来使用。

一条思路就是：不限定方式，善用关联（不只是系统间关联，同时还要做社工+技术手段关联）。

信息收集目的（外围）:

目的：确定测试目标范围 通过收集发现漏洞及脆弱点—这样就有了方向

收集手段有很多，列几个代表性的和思路（部分思路比较老了）。

1/1DNS域名（msf > whois xxx.xxx.xxx.xxx）:

用于外围对对方不了解情况下，通过DNS域名查询 ，一般会明确如下信息：申请人信息、日期、申请记录、邮件服务器地址信息、关联子域名及IP信息等，同时如果外围攻击，目标平台资源利用的好，收集信息会更佳，比如地理位置查询获取。

1/2搜索引擎利用–这块为后续省很多力

1/2/1搜索引擎可以尝试多利用引擎语法参数，用来检索目录，特定type的文件类型（*.xls *.word…..）

1/2/2目前很难了，不过并不是完全搜不到，账户凭证采用搜索引擎。

1/2/3目录结构获取–……/robots.txt—（早期框架网站）目录爬虫获取

收集后台网站过程 目录结构 etc.中 菜刀强—

1/2/4Email—除了DNS解析外还可怎样

采用msf>use auxiliary/gather/search_email_collector    set DOMAIN  <域名>  run–即可

1/2/5SQL注入点查找—–>试图找到后台地址Login—->试图让页面报错（看建联数据库名 看报错sql语句信息）——>试图重组sql语句(and or优先级问题利用)

“善用关联”思路拓展

1）工具：除了采用（例如msf去做），还可以用扫描器、敏感信息探测插件、或者很多目前安全态感产品去做。

2）工具+一个社工技巧：基于单个维度、然后结合自动化工具、构建你自己的信息链条。

2.1背景：比如serverA是我已获取权限的业务主机，我可以先不以技术思路出发，可以先技巧出发–server–get下此server是做什么的（是OA还是什么）

2.2看信息链有什么深度—例如OA，会有一些通告（大概率了解到udA或者内部信息系统用的默认凭证账户是多少）

2.3会获得什么：当前主机一些无需技术获取的敏感信息 资料记录（不要放过）  其他关联的server站点内容 地址 udA初始pwd…都是好东西

2.4信息链价值：—单个维度串起来的信息链+扫描器扫到的弱口令-把信息关联—-你就有了一张信息网—-然后不写了-GET A WORLD）

OK，第一章简单结束。思路比较多，后面会把一些case放入，大家多讨论。

PS：最后还是说这个主题用意

一位安全人真正应该做的-去传递思想和真正有价值且正确的安全理念。