前言
在資訊安全領域中,了解攻擊者的思維與手法是防禦的第一步。MITRE ATT&CK 正是為此而生的全球性知識庫,它系統性地記錄了真實世界中駭客的攻擊行為,成為資安從業人員不可或缺的參考框架。
本文將帶領讀者從零開始認識 MITRE ATT&CK,涵蓋其發展背景、核心架構、實務應用,以及 2025 年 10 月發布的 v18 最新版本更新內容。
第一章:什麼是 MITRE ATT&CK?
1.1 定義與全名
MITRE ATT&CK 的全名是 Adversarial Tactics, Techniques, and Common Knowledge(對抗性戰術、技術與常見知識)。這是一個由美國非營利組織 MITRE 公司所建立與維護的網路攻擊行為知識庫與分類法。
簡單來說,ATT&CK 就像一本「駭客攻擊百科全書」,詳細記錄了:
– 攻擊者想達成什麼目標(戰術)
– 攻擊者如何達成目標(技術)
– 攻擊者實際使用的具體方法(程序)
1.2 發展歷史
MITRE 於 2013 年啟動 ATT&CK 專案,最初是為了支援一個名為 FMX(Fort Meade eXperiment) 的內部研究計畫。該計畫的目標是研究如何利用端點遙測資料與分析技術,改善企業網路中入侵後階段的威脅偵測能力。
ATT&CK 最初僅記錄針對 Windows 企業環境的進階持續性威脅(APT)攻擊手法。隨著時間演進,逐步擴展至 macOS、Linux、雲端、行動裝置,乃至工業控制系統(ICS)等多元領域。
1.3 為什麼 ATT&CK 如此重要?
ATT&CK 之所以成為全球資安社群的共通語言,主要原因包括:
| 價值面向 | 說明 |
|---|---|
| 標準化溝通 | 提供統一的術語與編號系統,讓紅隊、藍隊、威脅情報分析師能有效溝通 |
| 基於真實攻擊 | 所有技術皆來自公開的威脅情報與事件報告,而非理論假設 |
| 持續更新 | 每半年更新一次,緊跟最新威脅態勢 |
| 免費開放 | 完全免費使用,任何組織或個人皆可取用 |
| 廣泛採用 | 被全球資安廠商、政府機構、企業組織廣泛採用 |
第二章:ATT&CK 核心架構解析
2.1 戰術(Tactics)— 攻擊的「為什麼」
戰術代表攻擊者的戰術目標,也就是他們執行某個動作的原因。在 ATT&CK 矩陣中,戰術通常呈現為橫軸的欄位標題。
以企業環境(Enterprise)為例,目前共有 14 個戰術:
| 編號 | 戰術名稱 | 說明 |
|---|---|---|
| TA0043 | 偵察(Reconnaissance) | 蒐集目標資訊以規劃攻擊 |
| TA0042 | 資源開發(Resource Development) | 建立攻擊所需的基礎設施與工具 |
| TA0001 | 初始存取(Initial Access) | 取得進入目標網路的立足點 |
| TA0002 | 執行(Execution) | 執行惡意程式碼 |
| TA0003 | 持續性(Persistence) | 維持在目標環境中的存在 |
| TA0004 | 權限提升(Privilege Escalation) | 取得更高的系統權限 |
| TA0005 | 防禦規避(Defense Evasion) | 避免被偵測 |
| TA0006 | 憑證存取(Credential Access) | 竊取帳號密碼等憑證 |
| TA0007 | 發現(Discovery) | 了解目標環境的配置 |
| TA0008 | 橫向移動(Lateral Movement) | 移動到網路中的其他系統 |
| TA0009 | 蒐集(Collection) | 收集感興趣的資料 |
| TA0011 | 命令與控制(Command and Control) | 與受害系統建立通訊管道 |
| TA0010 | 資料外洩(Exfiltration) | 將竊取的資料傳送出去 |
| TA0040 | 衝擊(Impact) | 破壞、中斷或操縱系統與資料 |
2.2 技術(Techniques)— 攻擊的「怎麼做」
技術描述攻擊者如何達成戰術目標的方法。每個技術都有一個唯一的編號,格式為 T 加上四位數字(例如 T1059)。
舉例來說,在「執行」戰術下,攻擊者可能使用以下技術:
– T1059 – 命令與腳本直譯器(Command and Scripting Interpreter):透過命令列或腳本執行惡意指令
– T1204 – 使用者執行(User Execution):誘騙使用者執行惡意檔案或連結
2.3 子技術(Sub-techniques)— 更精細的分類
子技術是對技術的進一步細分,提供更具體的攻擊行為描述。子技術編號格式為技術編號加上小數點與三位數字(例如 T1059.001)。
以 T1059 為例,其子技術包括:
| 子技術編號 | 名稱 | 說明 |
|---|---|---|
| T1059.001 | PowerShell | 使用 PowerShell 執行命令 |
| T1059.002 | AppleScript | 使用 macOS 的 AppleScript |
| T1059.003 | Windows Command Shell | 使用 cmd.exe |
| T1059.004 | Unix Shell | 使用 Bash、sh 等 Unix shell |
| T1059.005 | Visual Basic | 使用 VBScript 或 VBA |
| T1059.006 | Python | 使用 Python 腳本 |
| T1059.007 | JavaScript | 使用 JavaScript |
| T1059.013 | Container CLI/API | 使用容器命令列或 API(v18 新增) |
2.4 程序(Procedures)— 實際案例
程序是攻擊者在真實世界中實際執行技術的具體方式。這通常記錄在 ATT&CK 網站各技術頁面的「Procedure Examples」區塊。
例如,針對 T1059.001(PowerShell),程序範例可能是:
APT29 使用 PowerShell 腳本執行 Mimikatz,從 LSASS 記憶體中傾倒憑證。
這個程序實際上涵蓋了多個(子)技術:PowerShell 執行、程序注入、LSASS 記憶體憑證傾倒等。
2.5 子技術與程序的差異
這是新手常見的困惑點,以下表格釐清兩者的差異:
| 面向 | 子技術(Sub-techniques) | 程序(Procedures) |
|---|---|---|
| 用途 | 分類攻擊行為 | 描述實際攻擊案例 |
| 抽象程度 | 較抽象的行為類別 | 具體的實作細節 |
| 範例 | T1003.001 – LSASS Memory | APT28 使用 Mimikatz 的 sekurlsa::logonpasswords 模組 |
第三章:ATT&CK 涵蓋的技術領域
3.1 企業環境(Enterprise)
這是 ATT&CK 最完整的矩陣,涵蓋傳統企業 IT 環境:
| 平台 | 說明 |
|---|---|
| Windows | 包含 Windows 工作站與伺服器 |
| macOS | Apple 的桌面作業系統 |
| Linux | 各種 Linux 發行版 |
| Network | 網路設備(路由器、交換器等) |
| Containers | Docker、Kubernetes 等容器技術 |
3.2 雲端環境(Cloud)
隨著企業上雲趨勢,ATT&CK 也涵蓋雲端攻擊手法:
| 平台 | 說明 |
|---|---|
| IaaS | 基礎設施即服務(AWS EC2、Azure VM、GCP Compute) |
| SaaS | 軟體即服務(Microsoft 365、Google Workspace) |
| Office Suite | Office 應用程式相關攻擊 |
| Identity Provider | 身分識別提供者(Azure AD、Okta) |
3.3 行動裝置(Mobile)
針對行動裝置的攻擊手法:
| 平台 | 說明 |
|---|---|
| Android | Google Android 系統 |
| iOS | Apple iOS 系統 |
3.4 工業控制系統(ICS)
針對關鍵基礎設施與工業環境的攻擊:
| 適用場景 |
|---|
| 電力系統 |
| 製造業控制系統 |
| 油氣產業 |
| 水處理設施 |
第四章:ATT&CK v18 最新版本更新(2025 年 10 月)
4.1 版本概覽
ATT&CK v18 於 2025 年 10 月 28 日正式發布,這是一次重大更新,尤其在防禦框架方面進行了全面革新。
4.2 整體統計數據
| 類別 | 數量 |
|---|---|
| 惡意軟體/工具(Software) | 910 個 |
| 駭客組織(Groups) | 176 個 |
| 攻擊活動(Campaigns) | 55 個 |
企業環境(Enterprise)詳細統計
| 類別 | 數量 |
|---|---|
| 戰術 | 14 |
| 技術 | 216 |
| 子技術 | 475 |
| 駭客組織 | 172 |
| 軟體 | 784 |
| 攻擊活動 | 52 |
| 緩解措施 | 44 |
| 偵測策略 | 691 |
| 分析規則 | 1,739 |
| 資料元件 | 106 |
4.3 最重大變革:防禦框架全面升級
v18 版本最重要的改變是偵測機制的重新設計:
新增項目
- 偵測策略(Detection Strategies):針對每個技術提供系統性的偵測方法論
- 分析規則(Analytics):可直接實作的偵測規則
重大更新
- 資料元件(Data Components):全面更新至 v2.0
棄用項目
- 資料來源(Data Sources):已被棄用,由新架構取代
4.4 新增技術一覽
v18 在企業環境中新增了 12 個技術:
| 技術編號 | 名稱 | 說明 |
|---|---|---|
| T1059.013 | Container CLI/API | 濫用容器命令列介面或 API |
| T1213.006 | Databases | 從資料庫竊取資料 |
| T1653 | Delay Execution | 延遲執行以規避偵測 |
| T1546.018 | Python Startup Hooks | 利用 Python 啟動掛鉤進行持續性攻擊 |
| T1562.013 | Disable or Modify Network Device Firewall | 停用或修改網路設備防火牆 |
| T1670 | Local Storage Discovery | 探索本地儲存裝置 |
| T1036.010 | Browser Fingerprint | 偽裝瀏覽器指紋 |
| T1669 | Poisoned Pipeline Execution | CI/CD 管線投毒攻擊 |
| T1598.004 | Search Threat Vendor Data | 搜尋威脅情報廠商資料 |
| T1657 | Selective Exclusion | 選擇性排除特定目標 |
| T1518.002 | Backup Software Discovery | 探索備份軟體 |
| T1204.005 | Malicious Library | 誘騙使用者安裝惡意套件 |
4.5 新追蹤的駭客組織
v18 新增了 6 個駭客組織:
| 組織名稱 | 說明 |
|---|---|
| AppleJeus | 與加密貨幣攻擊相關的北韓駭客組織 |
| Contagious Interview | 針對求職者的社交工程攻擊組織 |
| Medusa Group | 勒索軟體組織 |
| Storm-0501 | 微軟追蹤的威脅行動者 |
| UNC3886 | 針對虛擬化平台的進階威脅組織 |
| Water Galura | 亞太地區活躍的威脅組織 |
4.6 新增攻擊活動
| 活動名稱 | 說明 |
|---|---|
| 3CX Supply Chain Attack | 針對 3CX 通訊軟體的供應鏈攻擊 |
| Quad7 Activity | Quad7 殭屍網路相關活動 |
| RedPenguin | 針對特定產業的攻擊活動 |
| Salesforce Data Exfiltration | Salesforce 資料外洩事件 |
| SharePoint ToolShell Exploitation | 利用 SharePoint 漏洞的攻擊活動 |
4.7 新增惡意軟體/工具
v18 新增了多款惡意軟體,包括:
| 名稱 | 類型 |
|---|---|
| Medusa Ransomware | 勒索軟體 |
| Qilin | 勒索軟體 |
| Embargo | 勒索軟體 |
| RedLine Stealer | 資訊竊取程式 |
| Havoc | 命令與控制框架 |
| InvisibleFerret | 後門程式 |
| BeaverTail | 惡意程式載入器 |
第五章:如何使用 ATT&CK?
5.1 威脅情報分析
將收到的威脅情報報告與 ATT&CK 技術編號對應,建立結構化的威脅描述:
威脅情報報告指出:
攻擊者透過釣魚郵件附件取得初始存取(T1566.001),
使用 PowerShell 執行惡意腳本(T1059.001),
並透過排程任務建立持續性(T1053.005)。
5.2 防禦缺口評估
利用 ATT&CK 矩陣評估組織的偵測與防禦能力:
- 盤點現有防禦:標記組織目前能偵測或阻擋的技術
- 識別缺口:找出未涵蓋的高風險技術
- 優先排序:根據威脅情報與業務風險決定改善優先順序
- 規劃改善:針對缺口規劃偵測規則或防禦措施
5.3 紅隊演練規劃
根據 ATT&CK 設計模擬攻擊情境:
演練情境:模擬 APT29 攻擊鏈
1. 初始存取:T1566.001 - 釣魚郵件附件
2. 執行:T1059.001 - PowerShell
3. 持續性:T1547.001 - 登錄機碼 Run Keys
4. 權限提升:T1548.002 - 繞過 UAC
5. 憑證存取:T1003.001 - LSASS 記憶體傾倒
6. 橫向移動:T1021.002 - SMB/Windows Admin Shares
7. 資料外洩:T1041 - 透過 C2 通道外洩
5.4 資安產品評估
使用 ATT&CK 作為評估資安產品的標準框架:
| 評估面向 | 問題 |
|---|---|
| 覆蓋率 | 產品能偵測多少 ATT&CK 技術? |
| 深度 | 對於關鍵技術的偵測準確度如何? |
| 整合性 | 是否支援 ATT&CK 標籤與對應? |
第六章:ATT&CK 相關資源
6.1 官方資源
| 資源 | 網址 |
|---|---|
| ATT&CK 官網 | https://attack.mitre.org |
| ATT&CK 部落格 | https://medium.com/mitre-attack |
| GitHub 資料集 | https://github.com/mitre/cti |
| ATT&CK Navigator | https://mitre-attack.github.io/attack-navigator/ |
6.2 API 與資料存取
ATT&CK 提供多種資料存取方式:
- STIX/TAXII:標準化的威脅情報交換格式
- GitHub JSON:可直接下載的 JSON 格式資料
- ATT&CK Workbench:本地部署的管理工具
6.3 社群資源
- Twitter/X:@MITREattack
- ATT&CKcon:年度研討會
- MITRE Engenuity:ATT&CK 評估計畫
第七章:常見問題(FAQ)
Q1:ATT&CK 多久更新一次?
每半年更新一次,通常在 4 月與 10 月發布新版本。
Q2:ATT&CK 的資料來源是什麼?
主要來自公開的威脅情報報告與資安事件分析。MITRE 團隊會從這些來源中萃取出通用的攻擊手法。
Q3:如何貢獻內容給 ATT&CK?
可透過 ATT&CK 官網的 Contribute 頁面提交建議。建議在投入大量時間撰寫之前,先聯繫 MITRE 團隊確認是否已有相關內容在開發中。
Q4:ATT&CK 與 Cyber Kill Chain 的差異?
兩者是互補關係:
– Cyber Kill Chain:高階的攻擊階段模型,強調順序性
– ATT&CK:細緻的攻擊行為分類,戰術之間沒有固定順序
Q5:ATT&CK 與 Diamond Model 的關係?
同樣是互補關係:
– Diamond Model:用於關聯分析與入侵叢集
– ATT&CK:可作為 Diamond Model 中「能力(Capability)」的細節補充
Q6:ATT&CK 可以免費使用嗎?
是的,完全免費。ATT&CK 採用開放授權,任何人或組織皆可使用,但須遵守商標使用規範。
結語
MITRE ATT&CK 已成為現代資安領域不可或缺的共通框架。無論您是剛入門的資安新手,還是經驗豐富的專業人員,都能從 ATT&CK 中獲得價值。
v18 版本的防禦框架升級,更讓 ATT&CK 從「了解攻擊」進化為「指導防禦」的實用工具。建議讀者持續關注 ATT&CK 的更新動態,並將其融入日常的資安工作流程中。
參考資料
- MITRE ATT&CK 官方網站:https://attack.mitre.org
- ATT&CK v18 Release Notes:https://attack.mitre.org/resources/updates/
- ATT&CK Design and Philosophy:https://attack.mitre.org/docs/ATTACK_Design_and_Philosophy_March_2020.pdf
- MITRE ATT&CK FAQ:https://attack.mitre.org/resources/faq/
