1.3.2　ATT&CK技术实例

技术和子技术是ATT&CK的基础，表示的是攻击者执行的单项动作或者攻击者通过执行动作而了解到的信息。每一项技术都包含技术名称、所属的战术、详细信息、缓解措施、检测方式和参考文献。图1-20为MITRE ATT&CK官网展示的“主动扫描（Active Scanning）”技术的相关页面。图中顶端的为该技术的名称，下方为该技术的详细介绍，右上方介绍了该技术的ID号码、子技术、所属战术、适用平台、创建时间和修改时间等信息。页面下面的三项内容则分别介绍了该技术的缓解措施、检测方式以及该页面信息的参考文献。页面中参考文献的部分通过类似于维基百科的形式引用了相关的文章，供读者扩展阅读。

一项技术能否纳入ATT&CK框架中，需要权衡许多因素，所有的这些因素共同构成了知识库中一项技术的信息。

1.技术命名

ATT&CK技术命名侧重于体现该技术的独特内容。就中级抽象而言，攻击者在使用某项技术时，技术名称体现的是攻击者在实现一定的战术目标时会采取的方法和手段。例如，凭证访问中的凭证转储技术，该技术是获得对新凭证访问权限的一种方法，而凭证可以通过多种方法进行转储。就低级抽象而言，技术名称体现的是该技术是如何被使用的，例如“防御绕过”中的Rundll32子技术，该子技术是“系统二进制文件代理执行”技术的一个具体执行方法。但是，对于那些已经在会议报告或文章中记录的技术，则倾向于使用行业认可的命名。

2.技术抽象

技术抽象级别通常包括以下几类：

●　以通用方式应用于多个平台的通用技术（例如，利用互联网上应用程序的漏洞）。

●　以特定方式应用于多个平台的常规技术（例如进程注入，针对不同平台有多个用法）。

●　仅适用于一种平台的特定技术（例如Rundll32，这是Windows系统中已签名的二进制文件）。

首先，技术描述一般是与平台无关的行为，例如“命令与控制”战术下的许多技术。技术说明为一般性说明，并且根据需要提供了不同平台的使用示例，通过引用这些示例来获得详细信息。

此外，将那些通过不同方式实现相同或相似结果的技术归为一类，例如“凭证转储”。这些技术可以以特定方式应用于多个平台，因此在技术说明中会有针对不同平台的内容。这些技术通常包含技术变体，需要说明该技术变体是如何应用于特定平台的，例如进程注入技术。

MITRE ATT&CK还提出了子技术的概念，子技术是攻击者针对特定平台采取的特定方式。以Rundll32为例，该技术仅适用于Windows系统。这些子技术倾向于描述攻击者如何利用平台的某个组件。

3.技术参考

ATT&CK还提供了技术参考，指导用户进一步研究或了解有关技术的详细信息。技术参考的作用主要体现在以下几个方面：技术背景、预期用途、通用使用示例、技术变体、相关工具和开源代码存储库、检测示例和最佳实践，以及缓解措施和最佳实践。

4.攻击实践

ATT&CK还介绍了技术/子技术的其他信息，例如在野攻击中是否使用了某项技术，哪些人采用了某项技术以及产生的已知危害。这类信息有很多来源，其中主要来源渠道为以下几种。

●　公开报告的技术：公开来源的报告显示在“在野攻击”中使用了某项技术。

●　非公开报告的技术：非公开来源的报告显示了某项技术的使用情况，但在公开来源中也已了解到该技术的存在。

●　漏报的技术：某些技术可能正在使用，但由于某种原因未被报告，一般会根据来源的可信度再决定是否报告这些技术。

●　未报告的技术：没有公开或非公开的报告说明某项技术正在使用。这类技术可能包含红队已发表的最新进攻性研究技术，但尚不清楚攻击者是否在“在野攻击”中使用了该技术。