iT邦幫忙

2024 iThome 鐵人賽

DAY 24
0
Security

駭客新手指南:從程式小白轉職成初級駭客系列 第 24

Day24 讓 MITRE ATT&CK 成為你的作戰地圖

  • 分享至 

  • xImage
  •  

前段時間我們介紹了一些防禦的工事,也提到了一些攻擊方法,不過對大多數新手來說,要如何把理論化為實際才是最重要的。而在這之中,有一個公開的知識庫用來追踪並分類駭客攻擊技術和行為,雖然他主要的目的在幫助安全專家理解並防禦現實駭客攻擊,不過我們也能藉由這些資料來學習駭客們常用得技術及策略,那便是今天要分享的內容:MITRE ATT&CK。

什麼是 MITRE ATT&CK?

MITRE ATT&CK 是一個詳細列舉出大部分駭客技術、工具、戰術的知識庫,他提供系統性的框架來描述駭客如何執行攻擊。這些技術被分為不同的戰術,每個戰術對應不同的攻擊階段。

主要架構

ATT&CK 架構是由一系列的 Tactics、Techniques組成,每一種策略代表攻擊過程中的不同階段,每一種技術則代表駭客在這些階段中可能使用的方法。

  • Tactics: 描述駭客在攻擊過程中的不同目標階段。可以是「初始訪問」、「執行」或「數據竊取」。

  • Techniques: 技術是具體的攻擊方法,對應於特定戰術。例如使用釣魚攻擊來獲取初始訪問權限,或利用憑證竊取來獲取系統的訪問權限。

  • Sub-Techniques: 在某些技術下,可能還會有更細化的子技術,這些子技術針對具體的方法進行說明。例如憑證竊取可以分為使用工具或利用內存中的憑證來竊取信息。

  • Procedures: 每種技術在現實攻擊中的具體執行方式,描述駭客如何實際操作和利用這些技術來達到攻擊目標。

如何查看 MITRE ATT&CK?

官網:https://attack.mitre.org/

開啟官網後可以看到下面的表格:
https://ithelp.ithome.com.tw/upload/images/20241008/20163114V79gUzJ6Ya.png
第一欄代表的是Tactics,像是:Reconnaissance、Execution等等
第二欄寫的10 techniques則是在戰術分類下,有10個技術。
所以說,如果駭客想完成TA0043,也就是Reconnaissance的戰術,就需要用到以下十個技術中的一個,如Active Scanning(T1595)。

如果要查看技術細節的話,點入該技術後會看到其附屬的子技術,這邊用Active Scanning(T1595)來解釋。
https://ithelp.ithome.com.tw/upload/images/20241008/20163114MS3yRkCCB7.png
若使用得剛好是Scanning IP Blocks,便可以標明自己是使用T1595.001。
除了子技術外,還同時附上了攻擊範例、如何緩解及如何偵測。

MITRE ATT&CK 的優勢

  1. 系統化框架: 他將駭客技術、戰術進行了標準化分類,使防禦者可以依據這些分類建立對應的防禦機制。

  2. 全球共享的知識庫: 他會不斷更新知識庫,基於全球範圍內的真實攻擊案例來更新技術和策略。

  3. 適用於多種環境: 她不僅適用於企業環境,還可以應用於雲端系統、虛擬化環境以及工業控制系統(ICS)。

對各方勢力的用處

  • 如果是防禦方,可以使用 ATT&CK 來分析當前的防禦措施是否足夠,並補足那些可能被駭客利用的技術或戰術。還可以用來優化威脅檢測系統,並提高事件響應的效率。

  • 若是想成為駭客的人,除了從範例攻擊程式中學習攻擊的邏輯、手法外,理解 ATT&CK 的技術和戰術還可以更深入理解安全系統如何檢測這些技術,從而找到繞過檢測的方法。


上一篇
Day23 EDR 是防線,還是挑戰?
下一篇
Day25 網絡間諜的高級玩法:APT
系列文
駭客新手指南:從程式小白轉職成初級駭客30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言