在APT等高階威脅研究的領域，時常可以在各組織釋出的APT報告中看到一個專業術語TTP，TTP及其中的三要素，戰術Tactics、技術Techniques和過程Procedures，是描述高階威脅組織及其攻擊的重要指標。TTP的概念最早來自於軍事領域及反恐活動，隨著在資訊保安領域及網路安全領域的推廣應用，其概念已經被多次誤解。本文前半部分幫大家追根溯源，解釋什麼是TTP，後半部分結合綠盟科技APT報告中境外APT-C1組織攻擊我國某互金平臺的案例，給大家說說TTP中的三要素，戰術、技術和過程。

資訊保安及網路安全領域中的TTP是什麼

SpecterOps團隊成員Robby Wincheseter曾撰文表示，在瀏覽各種資訊保安報告、部落格和推特時，我們經常看到TTP這個縮寫，指與資訊保安相關的各種事物，如測試、工具、流程、程式等。雖然TTP很常見，但使用時多已脫離其本來含義：戰術、技術與過程。本章節中，Robby Wincheseter將介紹自己對TTP用法的理解（基於國防部的定義），並解釋原因。

聯合條例 1-02 中對於 TTP 的定義

戰術、技術與過程是國防部自創的特定術語，已使用多年，用於描述軍事行動。聯合條例（JP）1-02《美國國防部軍事及相關術語詞典》中對戰術、技術與過程具體定義如下：

• 戰術 — 協調使用並有序部署軍隊。
• 技術 — 用於執行戰鬥行動、履行職責或任務的非規定方式或方法。
• 過程 — 規定如何執行特定任務的標準和具體步驟。

這些“官方”定義究竟意味著什麼？在筆者看來，這幾個詞從上至下越來越具體，含義最寬泛的是“戰術”，最具體的的是“過程”。筆者將抽絲剝繭地詳細闡述每個術語的具體含義，以澄清或有誤解。此外，在對各術語的描述中，筆者以“持有汽車”為喻，以便於理解。

戰術

戰術是規定事情處理方式的概括性要求，具體資訊很少。戰術通常用於規劃和/或追蹤目的，沒有具體說明或指示，只是概括的一般性指導，以確保行動所要求的各項事務均已完成。

以持有汽車作類比。在此過程中涉及很多“戰術”，如加油、清洗和保養，每一項都可視為“戰術”。此例中，我們將選取“保養”戰術作深入探討。

技術

“技術”處於最粗略的“戰術”和最具體的“過程”（見下一節）之間，主要包含預期完成的行動，但不包括完成某項行動的具體指導（即“非規定性的”）。通常情況下，是識別需要完成的任務，但不會就如何完成任務進行微觀管理。

繼續以車作類比。若所選戰術為“保養”，可以用多種技術實現該戰術，如換油、輪胎互換、更換剎車片等。這些技術給出了需要完成的任務，但不提供具體操作說明。這裡我們選擇“換油”用於進一步討論“過程”。

過程

過程是完成某項任務的詳細、具體的操作說明和/或指導。它包括完成任務所需的所有步驟，但不提供任務的指導思想或背景。過程的重點在於提供完整、詳細的說明，使任何人都可參照說明正確完成任務。

最後還以車為例，對於保養汽車來說，執行“換油”技術的步驟是具體做法。包含的資訊有更換頻率、機油型別、螺塞位置、必要工具等。過程應做到任何人（或者說，幾乎任何人）都能按照描述完成任務。

構建戰術、技術和過程之間的層級結構有利於展示他們之間的關係。為了實現所需戰術，很有必要利用一種或多種技術。而且，要實現這些技術，需採用一種或多種過程。“高階”威脅源起方所採用的戰術與其他攻擊者大同小異，他們的優勢主要在於能夠實現他人無法輕易模仿的新技術或複雜過程。

TTP與網路安全之間存在怎樣的關係？

Robby Wincheseter認為，儘管TTP一直用於傳統戰爭領域，但對於描述網路安全也非常有用。好在MITRE ATT&CK Matrix採用了這一結構，是基於TTP的安全的一個優秀例項。

各列標題表示攻擊者在網路攻擊週期的某些階段採用的各種高階戰術。戰術Matrix中的各個條目表示技術（標綠）。我們在前面提到，每個戰術對應多種技術。您可單擊每項技術，檢視技術詳情，如惡意攻擊者對該技術的應用情況。這些例項描述了所使用的過程，並對採用的實際行動和利用的資源進行了詳細介紹。這些過程可被視為開展某些惡意活動的特定雜湊或工具以及命令列。MITRE ATT&CK提供了易於使用的電腦保安相關的TTP分類。

例如，若攻擊者要訪問的網路中的計算機或資源不在其初始位置，則需藉助橫向移動攻擊戰術。比較流行的一種技術是將Windows內建的管理共享，C$和ADMIN$，用作遠端計算機上的可寫目錄。實現該技術的過程是利用SysInternals PsExec工具建立二進位制檔案，執行命令，將其複製到Windows管理共享，然後從該共享處開啟服務。即使阻斷SysInternals PsExec工具，也不能完全消除Windows管理共享技術的風險。這是因為攻擊者會轉而使用其他過程，如“net use”或PowerShell cmdlet Invoke-PsExec。瞭解攻擊的特徵和防禦對策對於評估安全措施的有效性至關重要。

為什麼TTP在網路安全領域如此重要？

Robby Wincheseter在闡明TTP的用途後，想說明為何這一軍事術語在現代計算機世界中如此重要？實際上，您在瞭解這一惡意活動方案後會成為更優秀的攻擊者或防禦者。將複雜的攻擊解析為TTP對於您瞭解攻擊檢測或重現非常有幫助。

瞭解資訊保安相關的各種戰術有助於您確定企業環境中的短板，讓您集中精力彌補所缺乏的知識/覆蓋範圍。例如，“Assume Breach”方案就是這樣一個佐證——有效的網路安全措施必須識別攻擊者利用的其他戰術，而不只是專注於防禦初始入侵。這一整體視角將使安全計劃更加完善，不至於遺漏某些方面。

瞭解技術與過程之間的區別也同等重要。很多網路安全工具和威脅情報Feed專注於攻擊者採用的特定過程（如工具雜湊、檔名和C2域名/IP地址），而忽略了使用的技術。安全社群有時候也會將發現的某些內容稱為新技術，但更準確地說，這些應稱為現有技術的新過程。若您瞭解潛在技術並且能夠調整特定過程，無論扮演哪種角色，您都將是更優秀的操作員。

古人云，“授之以魚不如授之於漁。”對於網路防禦來說，“授人以魚”指專注於攻擊者過程（如雜湊和特定IP地址）的脆弱性指標，這些指標在短時間內有效，可能暫時滿足您的需求。“授人以漁”指關注攻擊者使用的技術，瞭解攻擊相關的技術和行為，構建靈活的防禦措施，確保成功防禦攻擊者調整或建立的新過程。

那TTP應用到APT攻擊事件中又會是怎樣的，綠盟科技的文章是這樣描述的

在整個攻擊事件中，攻擊者在戰術、技術及過程三個方面（TTP）表現出高階威脅的特徵，包括高度目的性、高度隱蔽性、高度危害性、高度複合性、目標實體化及攻擊非對稱化，在國際網路安全領域通常使用這些特徵，來標識及識別高階持續性威脅（APT）攻擊，同時由於其攻擊主要針對我國網際網路金融領域，因此將其命名為APT-C1。

從下圖中可以看到APT-C1在TTP方面的特徵

戰術：

• 專業：具備數字貨幣及運作的專業知識
• 低調：目標選擇及惡意軟體推廣，都沒有選擇大範圍傳播
• 可信：著力偽裝並樹立可信的口碑

技術：

• 防殺防分析：減少或變換惡意行為，偵測沙箱環境
• 動態域名：DGA動態生成域名，逃避黑名單檢測
• 監控+竊取：多手段從資訊流中竊取所需

過程：

• 七步一殺：悉心準備，複雜而細緻的攻擊過程
• 實體目標：中後期主要針對我國某交易平臺展開
• 非對稱化：互金大盜及竊取手段，讓管理員毫無察覺