MITRE ATT&CK Cheatsheet

Quick reference for MITRE ATT&CK framework covering initial access, execution, persistence, privilege escalation, defense evasion, credential access, discovery, lateral movement, collection, and exfiltration

Related Categories:Security

50 commands

T1566 - フィッシング

Deliver malicious content via email attachments or links

検知: メールゲートウェイでSPF/DKIM/DMARC検証

T1190 - 公開アプリの悪用

Exploit vulnerabilities in public-facing web applications

検知: WAFルール + パッチ管理の徹底

T1133 - 外部リモートサービス

Abuse external-facing remote services like VPN or RDP

対策: MFA必須 + VPNログ監視

T1078 - 有効なアカウント

Use legitimate credentials for initial access

検知: 異常なログイン時間帯・場所をアラート

T1195 - サプライチェーン攻撃

Compromise through software supply chain

対策: SBOMの管理 + 依存関係の署名検証

T1059 - コマンド/スクリプト実行

Execute commands via PowerShell/Bash/Python etc.

検知: Sysmon Event ID 1 でプロセス作成を監視

T1059.001 - PowerShell

Abuse PowerShell scripts and commands

対策: Constrained Language Mode + ScriptBlock Logging

T1047 - WMI

Remote execution via Windows Management Instrumentation

検知: wmic process call create をログ監視

T1053 - スケジュールタスク

Schedule code execution via task scheduler or cron

検知: schtasks /create をSIEMで監視

T1204 - ユーザー実行

Trick users into executing malicious files or links

対策: セキュリティ意識向上トレーニング

T1547 - ブート/ログオン自動起動

Set auto-start via registry or startup folder

検知: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 監視

T1053 - スケジュールタスク/cron

Create scheduled tasks or cron jobs for persistence

検知: crontab -l / schtasks /query で定期チェック

T1136 - アカウント作成

Create new accounts for persistent access

検知: net user /add のイベントログ監視

T1543 - サービス作成/変更

Create or modify system services for persistence

検知: sc create / systemctl enable の監視

T1505.003 - Webシェル

Install backdoor shell on web server

検知: Webルート内の新規/変更ファイルを監視

T1548 - 権限制御メカニズムの悪用

Bypass privilege control mechanisms like sudo/UAC

検知: sudo -l の実行 + UACバイパスパターン監視

T1068 - 脆弱性の悪用

Exploit kernel or software vulnerabilities for escalation

対策: カーネルとソフトウェアを最新に保つ

T1055 - プロセスインジェクション

Inject code into legitimate processes to gain privileges

検知: Sysmon Event ID 8 (CreateRemoteThread) 監視

T1574 - DLLハイジャック

Abuse DLL search order to load malicious DLLs

検知: 不正なDLLパスからのロードをプロセスモニターで監視

T1134 - アクセストークン操作

Manipulate Windows access tokens for privilege gain

検知: Token impersonation APIコールの監視

T1070 - ホスト上の痕跡削除

Delete logs and files to remove activity traces

検知: イベントログ消去イベント (Event ID 1102) 監視

T1027 - 難読化されたファイル/情報

Obfuscate malware or communications to evade detection

検知: エントロピー分析 + サンドボックス実行

T1562 - 防御機能の無効化

Disable antivirus or firewall protections

検知: Windows Defender無効化イベントを監視

T1036 - マスカレード

Disguise as legitimate files or services

検知: 署名検証 + ファイルハッシュのホワイトリスト

T1218 - LOLBins実行

Abuse Living Off the Land Binaries (legitimate tools)

検知: mshta, certutil, rundll32 の不審な使用を監視

T1003 - OS資格情報ダンプ

Dump credentials from SAM/LSASS/etc.

検知: LSASS.exeへのアクセスを監視 (Sysmon Event ID 10)

T1110 - ブルートフォース

Execute brute force password attacks

対策: アカウントロックアウト + レート制限

T1555 - パスワードストアからの取得

Retrieve passwords from browsers or keychains

検知: ブラウザのCredentialファイルへのアクセス監視

T1558 - Kerberoasting

Crack Kerberos tickets offline for credentials

検知: TGSリクエストの異常な増加を監視

T1557 - 中間者攻撃

Intercept network communications for credentials

対策: ネットワーク暗号化 (TLS) + 証明書ピンニング

T1082 - システム情報の探索

Collect OS, hardware, and patch information

検知: systeminfo / uname -a の実行を監視

T1083 - ファイル/ディレクトリの探索

Enumerate important files and directories

検知: dir /s / find / ls -la の大量実行を監視

T1046 - ネットワークサービスの探索

Scan for network services

検知: 内部ネットワークのポートスキャンをIDS/IPSで検出

T1087 - アカウントの探索

Enumerate local and domain accounts

検知: net user / net group の実行を監視

T1016 - ネットワーク設定の探索

Collect network interface and routing information

検知: ipconfig / ifconfig / route の実行を監視

T1021.001 - RDP

Lateral movement via Remote Desktop Protocol

検知: RDP接続ログ (Event ID 4624, Logon Type 10) 監視

T1021.002 - SMB/Windows共有

Lateral movement via SMB file shares

検知: SMBログオンイベント + 異常な共有アクセス監視

T1021.004 - SSH

Lateral movement via SSH connections

検知: SSH認証ログ + 鍵ベース認証の強制

T1570 - ツールの転送

Transfer attack tools to lateral movement targets

検知: 内部ファイル転送の異常パターンを監視

T1550 - 代替認証の使用

Move without credentials via Pass-the-Hash/Ticket

対策: Credential Guard有効化 + NTLM制限

T1005 - ローカルシステムのデータ

Collect sensitive data from local file system

検知: 大量ファイル読み取りのパターンを監視

T1114 - メール収集

Collect data from email mailboxes

検知: Exchange/M365のメールアクセスログ監視

T1056 - キーロギング

Log keystrokes to capture sensitive information

検知: SetWindowsHookEx APIコールの監視

T1113 - スクリーンキャプチャ

Take screenshots to collect information

検知: BitBlt API / スクリーンキャプチャツールの監視

T1560 - データの圧縮・暗号化

Compress and encrypt data before exfiltration

検知: 7z / rar / tar の不審な実行を監視

T1041 - C2チャネル経由の持ち出し

Exfiltrate data over existing C2 channel

検知: C2通信の帯域異常をネットワーク監視

T1048 - 代替プロトコルでの持ち出し

Exfiltrate data over alternative protocols like DNS/ICMP

検知: DNSトンネリングパターンの検出

T1567 - Webサービス経由の持ち出し

Send data to cloud storage or legitimate web services

検知: 大量アップロードをプロキシログで監視

T1029 - スケジュールされた転送

Exfiltrate data on a schedule

検知: 定期的な大量アウトバウンド通信パターンを検出

T1537 - クラウドアカウントへの転送

Transfer data to attacker-controlled cloud accounts

検知: 新規外部クラウドサービスへの通信を監視