潘博文奇安信威胁情报中心基于 ATT&CK 的 APT 威胁跟踪和狩猎 •奇安信威胁情报中心 –“红雨滴”团队 •奇安信下专注于威胁情报方向和高级威胁分析的团队 •主要方向为定向攻击事件和高级威胁分析、发现和响应，机读威胁情报的生产和输出 •曾发现和披露数个 APT 组织，并长期跟踪活跃 APT 组织活动团队介绍目录什么是 ATT&CK ？数据与处理战术和技术分析与狩猎目录ATT&CK 图片来源网络兵者，诡道也ATT&CK ATT&CK https:// stixproject.github.io /documentation/idioms/c2 -ip-list/TTP inSTIX 1.2 Attack Pattern inSTIX 2.0 ATT&CK映射到 STIX 2.0ATT&CK 侦查武器化分发利用安装命令控制行动PRE-ATT&CK Enterprise团队介绍初始进入代码执行持久性权限提升防御绕过凭据获取内部探测横向移动信息收集数据窃取命令控制影响攻击组织攻击技术战术目的攻击武器使用使用实现达成战术目的技术实现