文章总结： ATT&CK模型是由MITRE公司于2013年创建的基于全球真实攻击案例的对抗性战术和技术知识库，采用非线性矩阵式结构将攻击行为分解为战术目标、技术手段和子技术实现。该模型通过TTPs框架描述攻击者的短期目标、具体技术实现方式及攻击组织偏好的固定程序，并以SolarWinds供应链攻击为例展示了如何运用该模型分析攻击链中各阶段的战术技术组合。 综合评分： 85 文章分类： 威胁情报,漏洞分析,实战经验,安全建设,技术标准

网络攻击模型之ATT&CK模型

安全大脑 安全大脑

安全大脑

2026年5月15日 09:49 北京

在小说阅读器读本章

去阅读

ATT&CK是一个基于全球真实攻击案例观察而创建的、可公开访问的对抗性战术和技术知识库。它由MITRE公司于2013年创建，旨在为描述对手行为提供一个通用的分类法;核心是TTPs模型

与CKC模型不同，ATT&CK的核心思想是基于行为的非线性模型，不再假设攻击是一个线性的固定流程，而是将攻击拆解成一个个独立的战术目标以及实现这些目标的具体技术手段，ATT&CK模型建立的是一个离散的、矩阵式的知识库模型

一、TTPS模型

战术(Tactics)-“为何做”：

代表了攻击者在攻击过程中的短期目标，即他们执行某个动作的原因;如，”凭证访问”是为了获取账户名和密码，”横向移动(LateralMovement)”是为了在网络中扩展控制范围。在ATT&CK矩阵中，战术表现为列标题。

技术(Techniques)-“如何做”:

技术描述了攻击者为实现战术目标所采用的具体手段

例如，在”凭证访问”战术下，攻击者可能会使用’键盘记录”或”哈希传递”等技术。在ATT&CK矩阵中，技术是每个战术列下的单元格。

子技术(Sub-techniques)-“具体如何做”:

对技术的更精细描述，解释了实现某种技术的不同方式

例如，技术”命令与脚本解释器”(T1059)下面包含了多个子技术，如”PowerShel”(T1059.001)和”Unix Shell”(T1059.003)。

程序(Procedures):

程序是指特定攻击组织或恶意软件实现某个技术的具体方式。。某攻击组织喜欢的固定套路:发送钓鱼邮件-用PowerShel执行恶意代码-哈希传递横向移动一窃取数据”

ATT&CK构建了一个矩阵式的知识体系，横轴是十余项核心战术，纵轴是数百项具体技术和上千项子技术，全部基于对全球真实攻击案例的观察。

二、ATT&CK视角下的SolarWinds攻击分析

2020年的SolarWinds供应链攻击，鲜明地体现了ATT&CK模型相对于CKC的优越性。

攻击者篡改了IT管理软件SolarWinds Orion的官方更新程序，植入了后门。全球数万家机构在信任中下载并安装了这一“毒更新”。

使用ATT&CK来分析SolarWinds攻击

用ATT&CK模型可以清晰地解剖其高级手法：

1. 战术：初始访问 → 技术：供应链妥协 → 子技术：软件更新投毒（T1195.002）——攻击者没发钓鱼邮件，而是篡改合法软件更新，突破边界；

2. 战术：执行 → 技术：合法软件代理执行（T1218.007）——恶意代码通过合法更新机制运行，系统认为是正常程序；

3. 战术：持久化 → 技术：后门休眠（T1027.011）——后门潜伏数周，不做任何动作，避开检测；

4. 战术：防御规避 → 技术：伪装正常流量（T1027.009）——后门和控制服务器通信时，伪装成软件更新流量，绕过IDS/IPS；

5. 战术：凭证访问 → 技术：窃取Windows凭证（T1003.001）——拿到管理员账号密码；

6. 战术：横向移动 → 技术：远程桌面协议（T1021.001）——用偷来的凭证登录其他服务器；

7. 战术：数据渗出 → 技术：隐蔽传输（T1020.001）——把敏感数据打包，通过加密信道发送出去。 若强行套用CKC模型，此次攻击的“载荷投递”（合法更新）和“漏洞利用”（合法安装）阶段都显得怪异，其精妙的后续活动也会被笼统地塞进“目标达成”，无法展现攻击全貌。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全大脑 安全大脑 安全大脑《网络攻击模型之ATT&CK模型》