ATT＆CK框架实践指南

图书标准信息

• 作者 张福
• 出版社 电子工业出版社
• 出版时间 2022-01
• 版次 1
• ISBN 9787121424359
• 定价 148.00元
• 装帧 其他
• 开本 16开
• 页数 348页
• 字数 397千字

【内容简介】

过去，入侵检测能力的度量是个公认的行业难题，各个企业得安全负责人每年在入侵防护上都投入大量费用，但几乎没有人能回答CEO 的问题：\"买了这么多产品，我们的入侵防御和检测能力到底怎么样，能不能防住黑客？”。这个问题很难回答，核心原因是缺乏一个明确的、可衡量、可落地的标准。所以，防守方对于入侵检测通常会陷入不可知和不确定的状态中，既说不清自己的能力高低，也无法有效弥补自己的短板。
  Mitre ATT＆CK 的出现解决了这个行业难题。它给了我们一把尺子，让我们可以用统一的标准去衡量自己的防御和检测能力。ATT＆CK并非一个学院派的理论框架，而是来源于实战。安全从业者们在长期的攻防对抗，攻击溯源，攻击手法分析的过程中，逐渐提炼总结，形成了实用性强、可落地、说得清道得明的体系框架。这个框架是先进的、充满生命力的，而且具备非常高的使用价值。
  青藤是一家专注于前沿技术研究的网络安全公司，自2017年开始关注ATT＆CK，经过多年系统性的研究、学习和探索，积累了相对比较成熟和系统化的资料，涵盖了ATT＆CK 的设计思想、核心架构、应用场景、技术复现、对抗实践、指标评估等多方面的内容。研究越深入，愈发意识到Mitre ATT＆CK 可以为行业带来的贡献。因此编写本书，作为ATT＆CK 系统性学习材料，希望让更多的人了解ATT＆CK，学习先进的理论体系，提升防守方的技术水平，加强攻防对抗能力。也欢迎大家一起加入到研究中，为这个体系的完善贡献一份力量。

【作者简介】

张福张福，青藤云安全创始人、CEO。毕业于同济大学，专注于前沿技术研究，在安全攻防领域有超过 15 年的探索和实践。曾先后在国内多家知名互联网企业，如第九城市、盛大网络、昆仑万维，担任技术和业务安全负责人。目前，张福拥有 10 余项自主知识产权发明专利，30 余项软件著作权。荣获“改革开放 40 年网络安全领军人物”、“中关村高端领军人才”、“中关村创业之星”等称号。程度程度，青藤云安全联合创始人、COO。毕业于首都师范大学，擅长网络攻防安全技术研究和大数据算法研究，拥有软著 18 项、专利 15 项，对云计算安全、机器学习领域有极高学术造诣，对全球安全市场有深刻理解。现兼任工信部信通院、全国信息安全标准化技术委员会外聘专家，《信息安全研究》、《信息网络安全》编委。参与多项云安全标准制定、标准审核工作，发表过多篇论文被国内核心期刊收录，荣获“OSCAR 尖峰开源技术杰出贡献奖”。胡俊胡俊，青藤云安全联合创始人、产品副总裁。毕业于华中科技大学，中国信息通信研究院可信云专家组成员，武汉东湖高新技术开发区第十一批“3551 光谷人才计划”。曾在百纳信息主导了多款工具应用、海豚浏览器云服务的开发。青藤创立后，主导开发“青藤万相·主机自适应安全平台”、“青藤蜂巢·云原生安全平台”等产品，获得发明专利10余项，是国内的安全产品专家，曾发表多篇论文并被中文核心期刊收录。

【目录】

部分  ATT＆CK入门篇

第1章  潜心开始MITRE ATT＆CK之旅2

1.1  MITRE ATT＆CK是什么3

1.1.1  MITRE ATT＆CK框架概述4

1.1.2  ATT＆CK框架背后的安全哲学9

1.1.3  ATT＆CK框架与Kill Chain模型的对比11

1.1.4  ATT＆CK框架与痛苦金字塔模型的关系13

1.2  ATT＆CK框架的对象关系介绍14

1.3  ATT＆CK框架实例说明18

1.3.1  ATT＆CK战术实例18

1.3.2  ATT＆CK技术实例31

1.3.3  ATT＆CK子技术实例34

第2章  新场景示例：针对容器和Kubernetes的ATT＆CK攻防矩阵38

2.1  针对容器的ATT＆CK攻防矩阵39

2.1.1  执行命令行或进程40

2.1.2  植入恶意镜像实现持久化41

2.1.3  通过容器逃逸实现权限提升41

2.1.4  绕过或禁用防御机制41

2.1.5  基于容器API获取权限访问42

2.1.6  容器资源发现42

2.2  针对Kubernetes的攻防矩阵42

2.2.1  通过漏洞实现对Kubernetes的初始访问43

2.2.2  恶意代码执行44

2.2.3  持久化访问权限45

2.2.4  获取更高访问权限46

2.2.5  隐藏踪迹绕过检测47

2.2.6  获取各类凭证48

2.2.7  发现环境中的有用资源49

2.2.8  在环境中横向移动50

2.2.9  给容器化环境造成危害51

第3章  数据源：ATT＆CK应用实践的前提52

3.1  当前ATT＆CK数据源利用急需解决的问题53

3.1.1  制定数据源定义54

3.1.2  标准化命名语法54

3.1.3  确保平台一致性57

3.2  升级ATT＆CK数据源的使用情况59

3.2.1  利用数据建模59

3.2.2  通过数据元素定义数据源61

3.2.3  整合数据建模和攻击者建模62

3.2.4  将数据源作为对象集成到ATT＆CK框架中62

3.2.5  扩展ATT＆CK数据源对象63

3.2.6  使用数据组件扩展数据源64

3.3  ATT＆CK数据源的运用示例65

3.3.1  改进进程监控65

3.3.2  改进Windows事件日志70

3.3.3  子技术用例73

第二部分  ATT＆CK提高篇

第4章  十大攻击组织和恶意软件的分析与检测78

4.1  TA551攻击行为的分析与检测79

4.2  漏洞利用工具Cobalt Strike的分析与检测81

4.3  银行木马Qbot的分析与检测83

4.4  银行木马lcedlD的分析与检测84

4.5  凭证转储工具Mimikatz的分析与检测86

4.6  恶意软件Shlayer的分析与检测88

4.7  银行木马Dridex的分析与检测89

4.8  银行木马Emotet的分析与检测91

4.9  银行木马TrickBot的分析与检测92

4.10  蠕虫病毒Gamarue的分析与检测93

第5章  十大高频攻击技术的分析与检测95

5.1  命令和脚本解析器（T1059）的分析与检测96

5.1.1  PowerShell（T1059.001）的分析与检测96

5.1.2  Windows Cmd Shell（T1059.003）的分析与检测98

5.2  利用已签名二进制文件代理执行（T1218）的分析与检测100

5.2.1  Rundll32（T1218.011）的分析与检测100

5.2.2  Mshta（T1218.005）的分析与检测104

5.3  创建或修改系统进程（T1543）的分析与检测108

5.4  计划任务/作业（T1053）的分析与检测111

5.5  OS凭证转储（T1003）的分析与检测114

5.6  进程注入（T1055）的分析与检测117

5.7  混淆文件或信息（T1027）的分析与检测120

5.8  入口工具转移（T1105）的分析与检测122

5.9  系统服务（T1569）的分析与检测124

5.10  伪装（T1036）的分析与检测126

第6章  红队视角：典型攻击技术的复现129

6.1  基于本地账户的初始访问130

6.2  基于WMI执行攻击技术131

6.3  基于浏览器插件实现持久化132

6.4  基于进程注入实现提权134

6.5  基于Rootkit实现防御绕过135

6.6  基于暴力破解获得凭证访问权限136

6.7  基于操作系统程序发现系统服务138

6.8  基于SMB实现横向移动139

6.9  自动化收集内网数据141

6.10  通过命令与控制通道传递攻击载荷142

6.11  成功窃取数据143

6.12  通过停止服务造成危害144

第7章  蓝队视角：攻击技术的检测示例145

7.1  执行：T1059命令和脚本解释器的检测146

7.2  持久化：T1543.003创建或修改系统进程（Windows服务）的检测147

7.3  权限提升：T1546.015组件对象模型劫持的检测149

7.4  防御绕过：T1055.001 DLL注入的检测150

7.5  凭证访问：T1552.002注册表中的凭证的检测152

7.6  发现：T1069.002域用户组的检测153

7.7  横向移动：T1550.002哈希传递攻击的检测154

7.8  收集：T1560.001通过程序压缩的检测155

第三部分  ATT＆CK实践篇

第8章  ATT＆CK应用工具与项目158

8.1  ATT＆CK三个关键工具159

8.1.1  ATT＆CK Navigator项目159

8.1.2  ATT＆CK的CARET项目161

8.1.3  TRAM项目162

8.2  ATT＆CK实践应用项目164

8.2.1  红队使用项目164

8.2.2  蓝队使用项目167

8.2.3  CTI团队使用169

8.2.4  CSO使用项目173

第9章  ATT＆CK场景实践175

9.1  ATT＆CK的四大使用场景178

9.1.1  威胁情报178

9.1.2  检测分析181

9.1.3  模拟攻击183

9.1.4  评估改进186

9.2  ATT＆CK实践的常见误区190

第10章  基于ATT＆CK的安全运营193

10.1  基于ATT＆CK的运营流程195

10.1.1  知彼：收集网络威胁情报195

10.1.2  知己：分析现有数据源缺口196

10.1.3  实践：分析测试197

10.2  基于ATT＆CK的运营实践200

10.2.1  将ATT＆CK应用于SOC的步骤200

10.2.2  将ATT＆CK应用于SOC的技巧204

10.3  基于ATT＆CK的模拟攻击206

10.3.1  模拟攻击背景206

10.3.2  模拟攻击流程207

第11章  基于ATT＆CK的威胁狩猎218

11.1  威胁狩猎的开源项目219

11.1.1  Splunk App Threat Hunting220

11.1.2  HELK222

11.2  ATT＆CK与威胁狩猎224

11.2.1  3个未知的问题224

11.2.2  基于TTP的威胁狩猎226

11.2.3  ATT＆CK让狩猎过程透明化228

11.3  威胁狩猎的行业实战231

11.3.1  金融行业的威胁狩猎231

11.3.2  企业机构的威胁狩猎239

第四部分  ATT＆CK生态篇

第12章  MITRE Shield主动防御框架246

12.1  MITRE Shield背景介绍247

12.2  MITRE Shield矩阵模型249

12.2.1  主动防御战术250

12.2.2  主动防御技术252

12.3  MITRE Shield与ATT＆CK的映射253

12.4  MITRE Shield使用入门254

12.4.1  Level 1示例255

12.4.2  Level 2示例257

12.4.3  Level 3示例258

第13章  ATT＆CK测评259

13.1  测评方法260

13.2  测评流程262

13.3  测评内容264

13.4  测评结果266

附录A  ATT＆CK战术及场景实践271

附录B  ATT＆CK攻击与SHIELD防御映射图292