ATT
&CK
چارچوب حملات سایبرینسخه فارسی · MITRE ATT&CK®
جستجو

تاکتیک‌های حملات سایبری

تاکتیک‌ها اهداف سطح‌بالای مهاجم در طول چرخه حمله را توصیف می‌کنند؛ هر تاکتیک از مجموعه‌ای از تکنیک‌ها تشکیل شده است.

#نام تاکتیکتوضیحاتتکنیک‌ها
TA0043
شناساییReconnaissance

مهاجم اطلاعاتی را جمع‌آوری می‌کند که می‌توانند برای برنامه‌ریزی عملیات‌های آینده استفاده شوند. این تکنیک‌ها شامل روش‌های فعال (مانند اسکن مستقیم) و غیرفعال (مانند جستجو در منابع عمومی) برای جمع‌آوری اطلاعات درباره سازمان‌های هدف، زیرساخت‌ها و پرسنل است.

10
TA0042
توسعه منابعResource Development

مهاجم منابعی را ایجاد، خریداری یا به خطر می‌اندازد که می‌توانند برای پشتیبانی از عملیات استفاده شوند. این منابع شامل زیرساخت، حساب‌های کاربری، قابلیت‌ها و ابزارهایی است که مهاجم قبل از شروع حمله اصلی آماده می‌کند. این تاکتیک قبل از هدف‌گیری رخ می‌دهد و شناسایی آن بسیار دشوار است.

8
TA0001
دسترسی اولیهInitial Access

مهاجم برای اولین بار به شبکه یا سامانه هدف وارد می‌شود و نقطه شروع حمله را ایجاد می‌کند. تکنیک‌های دسترسی اولیه شامل روش‌های مختلفی برای ورود به محیط هدف هستند، از جمله فیشینگ، سوءاستفاده از سرویس‌های عمومی، استفاده از اعتبارنامه‌های معتبر و به خطر انداختن زنجیره تأمین.

10
TA0002
اجراExecution

مهاجم سعی می‌کند کدهای مخرب را اجرا کند. تکنیک‌های اجرا معمولاً با تاکتیک‌های دیگر مانند کشف و حرکت جانبی همراه می‌شوند تا به اهداف گسترده‌تری دست یابند. اجرای کد مخرب می‌تواند از طریق اسکریپت‌ها، دستورات، یا بهره‌برداری از آسیب‌پذیری‌ها انجام شود.

14
TA0003
پایداریPersistence

مهاجم سعی می‌کند جای پای خود را در سیستم‌های هدف حفظ کند. تکنیک‌های پایداری شامل هر دسترسی، اقدام یا تغییر پیکربندی می‌شوند که به مهاجم اجازه می‌دهد حضور مداوم در سیستم‌ها داشته باشد. مهاجمان اغلب نیاز دارند که دسترسی خود را پس از راه‌اندازی مجدد سیستم، تغییر اعتبارنامه‌ها و سایر وقفه‌ها حفظ کنند.

20
TA0004
ارتقاء سطح دسترسیPrivilege Escalation

مهاجم سعی می‌کند مجوزهای سطح بالاتری در سیستم یا شبکه به دست آورد. تکنیک‌های ارتقاء سطح دسترسی شامل بهره‌برداری از ضعف‌های سیستم، پیکربندی‌های نادرست و آسیب‌پذیری‌ها برای دستیابی به دسترسی SYSTEM یا root، مدیر محلی یا حساب‌های با دسترسی مشابه مدیر می‌شود.

6
TA0005
فرار از دفاعDefense Evasion

مهاجم سعی می‌کند در طول نفوذ از شناسایی جلوگیری کند. تکنیک‌های فرار از دفاع شامل حذف نصب یا غیرفعال کردن نرم‌افزارهای امنیتی، مبهم‌سازی و رمزگذاری داده‌ها و اسکریپت‌ها، و سوءاستفاده از فرآیندهای مورد اعتماد برای پنهان کردن و ظاهر قانونی دادن به بدافزار می‌شود.

47
TA0006
دسترسی به اطلاعات اعتباریCredential Access

مهاجم سعی می‌کند نام‌های حساب کاربری و رمزهای عبور را به سرقت ببرد. تکنیک‌های دسترسی به اطلاعات اعتباری شامل روش‌هایی مانند keylogging و credential dumping است که به مهاجمان امکان می‌دهد اطلاعات اعتباری قانونی را به دست آورند.

15
TA0007
کشفDiscovery

مهاجم سعی می‌کند محیط را بشناسد. تکنیک‌های کشف به مهاجمان اجازه می‌دهد اطلاعاتی درباره سیستم و شبکه داخلی به دست آورند. این اطلاعات به مهاجم کمک می‌کند محیط را بشناسد و تصمیم بگیرد چه اقداماتی انجام دهد.

34
TA0008
حرکت جانبیLateral Movement

مهاجم سعی می‌کند وارد سیستم‌های دیگر در شبکه شود. تکنیک‌های حرکت جانبی به مهاجمان اجازه می‌دهد محیط را کشف کنند و به سیستم‌های راه دور دسترسی پیدا کنند. اجرای این هدف اغلب مستلزم کشف شبکه و استفاده از اطلاعات اعتباری قانونی است.

9
TA0009
جمع‌آوریCollection

مهاجم سعی می‌کند داده‌هایی را که برای اهداف او مرتبط هستند جمع‌آوری کند. تکنیک‌های جمع‌آوری شامل روش‌هایی برای شناسایی و جمع‌آوری اطلاعات مانند فایل‌های حساس از شبکه هدف قبل از استخراج است.

17
TA0011
فرمان و کنترلCommand and Control

مهاجم سعی می‌کند با سیستم‌های تحت کنترل خود در شبکه هدف ارتباط برقرار کند. مهاجمان معمولاً سعی می‌کنند ارتباطات فرمان و کنترل را با ترافیک شبکه عادی مخلوط کنند تا از شناسایی فرار کنند.

18
TA0010
استخراج دادهExfiltration

مهاجم سعی می‌کند داده‌ها را از شبکه هدف بدزدد. تکنیک‌های استخراج داده شامل روش‌هایی برای سرقت داده‌ها است. کانال‌های استخراج معمولاً شامل پروتکل‌های فرمان و کنترل یا کانال‌های جایگزین مانند سرویس‌های وب می‌شوند.

8
TA0040
تأثیرImpact

مهاجم سعی می‌کند سیستم‌ها، داده‌ها و زیرساخت‌ها را دستکاری، قطع یا نابود کند. تکنیک‌های تأثیر می‌توانند برای اهداف مختلفی مانند اخاذی، تخریب و دستکاری داده استفاده شوند.

15