ATT&CK v17：新增平台（ESXi）、优化收集与更多防御措施

作者：Amy Robertson 和 Adam Pennington

ATT&CK v17 的目标是通过分析攻击者的近期活动轨迹，帮助防御者保持与攻击者演进方向的同步。本次发布聚焦于攻击者利用的平台、调整的技术和目标环境，旨在为防御工作提供参考。

企业版 | ESXi、网络设备与新行为模式

本次发布为ATT&CK新增了一个平台：ESXi。随着攻击者因虚拟化基础设施广泛部署和高影响潜力而加大攻击力度，我们重点关注了攻击者近期聚焦的VMware ESXi管理程序。本次更新将34个现有技术适配至ESXi环境，并为其设计了4个新技术：

• T1675：ESXi管理控制
• T1059.12：命令与脚本解释器：管理程序CLI
• T1505.006：服务器软件组件：vSphere安装包
• T1673：虚拟机发现

平台范围聚焦于ESXi管理程序的核心操作系统，重点关注管理程序本身而非管理ESXi主机的vCenter Server。仅当vCenter相关技术直接影响ESXi时（如通过vCenter入侵管理程序）才会被纳入。虽然我们曾考虑创建更广泛的类型1管理程序平台，但实际攻击报告主要集中在ESXi。ESXi的独特之处在于采用自定义内核和操作系统，而非依赖现有ATT&CK平台（如Linux的Xen或Windows的Hyper-V）进行后台管理。随着虚拟化环境持续演变，虽然ESXi的角色可能发生变化，但攻击者一直在积极利用其能力，特别是在勒索软件和持久化访问行动中。

我们特别感谢四位社区成员通过#attacking-Mondays Slack频道分享ESXi最佳实践、安全研究和公开威胁报告：Frankie Li、Austin Gadient、Joe Comps和Vali Cyber的Nathan Montierth。

企业版平台的另一项更新是将“网络平台”重命名为“网络设备”，更直观反映该平台包含针对路由器、交换机和负载均衡器等网络设备的技术。

作为持续维护更新的一部分，我们引入了新行为和更多技术实现，包括扩展云安全和Linux覆盖范围，并通过合并重叠子技术来简化相关技术。部分更新包括：

• T1667：邮件轰炸、T1204.004：用户执行：恶意复制粘贴和T1668：独占控制展示了威胁行为者的相对新颖行为，前两者涉及社会工程学，后者聚焦攻击者如何阻止其他入侵者。
• T1564.013：隐藏痕迹：绑定挂载概述了具备提升权限的攻击者如何通过绑定挂载覆盖/proc目录来隐藏恶意进程。
• 参考朝鲜远程工作方案，新增T1219.003：远程访问工具：远程访问硬件，攻击者可能安装TinyPilot或PiKVM等合法远程访问硬件创建交互式后门。
• T1671：云应用集成突显攻击者如何滥用SaaS平台中的OAuth应用集成来持久化、绕过MFA并窃取数据。
• 将T1574.002：劫持执行流：DLL侧加载合并至T1574.001，并重命名为T1574.001：劫持执行流：DLL以反映两个子技术先前重叠的范围。

最后，我们从ATT&CK技术中移除了可选元数据字段（系统要求、所需权限、有效权限、支持远程和防御绕过），以简化内容并减少冗余和不一致应用。

防御 | 新分析能力、优化收集与提升的缓解措施

本次发布新增140多项分析规则，旨在增强防御者在入侵生命周期各阶段的可见性。与以往版本相同，分析规则的目标是帮助防御者更早识别入侵、更有效跟踪攻击者转向并更快响应。

我们还升级了数据组件，不仅说明收集什么数据，还通过平台特定指南（包括新增对IaaS和SaaS的支持）展示如何优化收集。例如针对“文件：文件访问”数据组件，您将找到详细指导：在Windows上使用事件ID 4663、Sysmon事件ID 11和特定PowerShell命令；在Linux上使用auditd和inotify；在macOS上利用统一日志和FSEvents；在网络环境中从SMB/CIFS和NAS系统收集日志。

我们持续升级和完善缓解措施，现在许多缓解措施包含分步实施指南、实际用例和有助于集成到环境的工具。

移动端 | 新软件、技术与缓解实施

过去几个月我们在移动端持续投入，新增技术和工具反映攻击者正变得更具创新性和隐蔽性。您还会找到新的缓解内容，包含实用指南帮助开发者从一开始就构建更安全的软件。

应社区请求和现实世界中SIM交换活动激增，我们重新引入了T1451：SIM卡交换，攻击者利用被盗个人信息劫持电话号码以重定向短信和通话。我们还推出了T1670：虚拟化解决方案，聚焦恶意软件如何隐藏在合法Android应用中。

在威胁情报方面，我们发布了五个新工具，记录当前和新威胁：

• S1214：Android/SpyAgent用于钓鱼驱动的间谍软件
• S1215：Binary Validator和S1216：TriangleDB用于Mach-O侦察和植入链
• S1208：FjordPhantom用于基于虚拟化的银行欺诈
• S1195：SpyC23用于持久性APT风格Android入侵

移动端和企业团队还合作分析了S1185：LightSpy，这是一个针对Android、iOS和macOS的模块化跨平台恶意软件。我们引入了C0054：三角测量行动，该行动针对iOS使用零点击iMessage漏洞利用来传递Binary Validator和TriangleDB植入程序。最后，与防御团队协调，我们修订了M1013：应用开发者指南，包含具体实施、用例和工具，帮助开发者在整个开发生命周期中应用更安全的编码实践。

威胁情报 | 多样化环境、平台多功能性与定制工具

本次发布继续聚焦捕获有影响的入侵活动，从网络犯罪活动到国家主导的间谍活动，展示攻击者如何将社会工程学与定制植入程序结合、共享和重用基础设施，并不断改进加密和规避技术。

在ATT&CK组织方面，我们新增了G1045：盐台风（Salt Typhoon），这是一个与中国有关的国家支持行为体，曾针对美国主要电信和互联网服务提供商的网络基础设施。我们还加入了另外两个与中国有关的组织：G1042：红色回响（RedEcho）重用S0596：ShadowPad并与G0096：APT41共享基础设施，持续针对印度关键部门；G1047：绒蚁（Velvet Ant）利用Cisco Nexus交换机等设备中的零日漏洞植入定制后门并保持长期访问。我们还新增了与土耳其有关的G1041：海龟（Sea Turtle），通过重定向流量和伪造登录门户窃取凭证；以及伊朗的G1044：APT42，使用鱼叉式网络钓鱼和PINEFLOWER Android恶意软件静默窃取数据。

我们扩展了网络犯罪覆盖范围，包括G1043：黑字节（BlackByte）及其常攻击关键基础设施的升级版2.0勒索软件。我们还重点介绍了G1046：风暴-1811（Storm-1811），通过垃圾邮件和诱骗受害者进入假冒帮助台聊天来部署S1070：黑巴斯塔（Black Basta）恶意软件。

在活动方面，我们新增了针对关键基础设施和边缘设备、混淆攻击者基础设施以及利用人工智能系统漏洞的活动。C0046：神秘之门（ArcaneDoor）、C0050：J-magic和C0048：午夜月食行动（Operation MidnightEclipse）展示了攻击者如何利用思科、Juniper和Palo Alto的网络设备和VPN设备 stealthily访问并试图在政府和工业网络中持久化。在操作技术（OT）方面，C0041：FrostyGoop事件展示了乌克兰的实际影响，通过操纵控制系统中断供暖服务。同样在乌克兰，C0051：APT28最近邻居活动（Nearest Neighbor Campaign）反映了基于物理邻近的攻击，利用附近Wi-Fi网络渗透目标，突显网络边界可能比想象中更远。

在澳大利亚和东南亚，C0049：利维坦（Leviathan）和C0047：红色三角洲（RedDelta）在长期入侵中使用凭证窃取和横向移动静默提取敏感数据。在针对以色列和印度组织的间谍活动中，与G0049：OilRig关联的C0044：Juicy Mix和C0042：外太空（Outer Space）都依赖定制恶意软件。随着混合基础设施使用日益增长，我们新增了C0043：FLORAHOX和C0052：SPACEHOP，利用受损路由器和租用VPS服务器（即操作中继盒ORB网络）混合架构来掩盖流量并复杂化归因。最后，C0045：ShadowRay活动利用Ray AI框架中的漏洞，标志着首次观测到利用AI基础设施漏洞获取数据和计算资源访问权限。

本次发布的对手使用软件更新和新增内容集中在国家主导和犯罪操作，这些操作日益以多样化环境为目标，具有平台多功能性，并兼具数据窃取和破坏/中断的双重目标。

勒索软件+犯罪创新：BlackByte、LockBit和Akira演进为更高级变体（S1181：BlackByte 2.0、S1202：LockBit 3.0、S1194：Akira_v2）突显了勒索软件即服务（RaaS）的持续成熟。像S1179：Exbyte和S1213：Lumma Stealer等工具显示勒索软件运营者也在投资数据窃取和外泄，通过犯罪市场和初始访问经纪人获利。

网络设备定向攻击：S1203：J-magic、S1206：JumbledPath、S1184：BOLDMOVE和S1186：Line Dancer专注于防火墙和路由器等边缘设备，利用其在可见性和补丁方面的盲点。

擦除器/破坏性操作：像S1167：AcidPour和S1190：Kapeka等工具表明对以破坏为重点的操作持续感兴趣，特别是在东欧和乌克兰基础设施中。这些工具通常与国家关联行为体（G0034：沙虫团队Sandworm Team）相关联，并为嵌入式和ICS环境定制。

后门与监控：定制后门S1197：GoBear、S1198：Gomir、S1211：Hannotog、S1169：Mango和S1182：MagicRAT被用于长期间谍活动和对被入侵网络的模块化控制，使用者包括G0094：Kimsuky、G0030：Lotus Blossom、G0049：OilRig和G0032：Lazarus Group等国家支持的威胁组织。

软件与基础设施 | 更多功能、稳定性与预览

对于构建自己网站副本的开发者，我们将构建所需的Python版本升级至3.13。mitreattack-python库也已升级，新增功能以支持ATT&CK v17 STIX内容。对于ATT&CK Workbench用户，我们改用语义化版本发布流程，提供与预发布分离的更稳定通道。这支持将对数据源和数据组件进行的重大STIX变更，这些变更将成为10月发布的一部分，我们让社区提前预览以测试和分享反馈。最后，TAXII 2.1服务器也已更新至ATT&CK v17内容。

下一步 | ATT&CKcon CFP、ATT&CKing周一会议与ATT&CK 2025路线图

ATT&CKcon 6.0将于2025年10月14-15日在弗吉尼亚州麦克莱恩举行，我们将继续关注攻击者如何调整以及全球防御者如何检测和阻断它们。我们将很快开放CFP，虽然我们知道大多数提交会在截止日期前到来（别担心，我们已做好准备），但我们期待看到您使用ATT&CK的创新方式。

每周一美国东部时间中午12点，我们启动ATT&CKing周一会议，探讨ATT&CK中有效的内容以及可以重构、改进或重新设想的方面。这是您直接帮助我们推进ATT&CK并听取社区不同观点的渠道。

请持续关注此空间和ATT&CK的社交媒体，ATT&CK 2025路线图即将发布。我们将详细介绍10月发布ATT&CK v18时的预期内容，以及我们今年和未来几年考虑的部分计划。

一如既往感谢所有为本版本做出贡献的人。如果没有积极分享攻击者真实活动示例和实际实施的社区，我们无法为您带来ATT&CK。再次强调，如果您有所发现，请贡献您的发现。