ATT＆CK框架實踐指南

《ATT＆CK框架實踐指南》對備受資訊安全行業青睞的ATT&CK框架進行了詳細的介紹，並通過豐富的實踐案例幫助讀者瞭解ATT&CK框架，更好地將ATT&CK框架用於提高企業的安全防禦能力建設。

《ATT＆CK框架實踐指南》由淺入深，從原理到實踐，從攻到防，循序漸進地介紹了ATT&CK框架。全書分為4部分共13個章節，詳細介紹了ATT&CK框架的整體架構，如何利用ATT&CK框架檢測一些常見的攻擊組織、惡意軟體和高頻攻擊技術，以及ATT&CK在實踐中的落地應用，後介紹了MITRE ATT&CK相關的生態專案，包括MITRE Shield以及ATT&CK測評。

《ATT＆CK框架實踐指南》適合網路安全從業人員（包括CISO、CSO、藍隊人員、紅隊人員等）、網路安全研究人員等閱讀，也可供網路空間安全、資訊安全等專業教學、科研、應用人員參考閱讀。
 

第一部分 ATT&CK入門篇
第1章 潛心開始MITRE ATT&CK之旅 2
1.1 MITRE ATT&CK是什麼 3
1.2 ATT&CK框架的物件關係介紹 14
1.3 ATT&CK框架實例說明 18
第2章 新場景示例：針對容器和Kuberes的ATT&CK攻防矩陣 38
2.1 針對容器的ATT&CK攻防矩陣 39
2.2 針對Kuberes的攻防矩陣 42
第3章 數據源：ATT&CK應用實踐的前提 52
3.1 當前ATT&CK數據源利用急需解決的問題 53
3.2 升級ATT&CK數據源的使用情況 59
3.3 ATT&CK數據源的運用示例 65

第二部分 ATT&CK提高篇
第4章 十大攻擊組織和惡意軟體的分析與檢測 78
4.1 TA551攻擊行為的分析與檢測 79
4.2 漏洞利用工具Cobalt Strike的分析與檢測 81
4.3 銀行木馬Qbot的分析與檢測 83
4.4 銀行木馬lcedlD的分析與檢測 84
4.5 憑證轉儲工具Mimikatz的分析與檢測 86
4.6 惡意軟體Shlayer的分析與檢測 88
4.7 銀行木馬Dridex的分析與檢測 89
4.8 銀行木馬Emotet的分析與檢測 91
4.9 銀行木馬TrickBot的分析與檢測 92
4.10 蠕蟲病毒Gamarue的分析與檢測 93
第5章 十大高頻攻擊技術的分析與檢測 95
5.1 命令和腳本解析器（T1059）的分析與檢測 96
5.1.1 PowerShell（T1059.001）的分析與檢測 96
5.1.2 Windows Cmd Shell（T1059.003）的分析與檢測 98
5.2 利用已二進位檔案代理執行（T1218）的分析與檢測 100
5.3 創建或修改系統進程（T1543）的分析與檢測 108
5.4 計畫任務/作業（T1053）的分析與檢測 111
5.5 OS憑證轉儲（T1003）的分析與檢測 114
5.6 進程注入（T1055）的分析與檢測 117
5.7 混淆檔或資訊（T1027）的分析與檢測 120
5.8 入口工具轉移（T1105）的分析與檢測 122
5.9 系統服務（T1569）的分析與檢測 124
5.10 偽裝（T1036）的分析與檢測 126
第6章 紅隊視角：典型攻擊技術的複現 129
6.1 基於本地帳戶的初始訪問 130
6.2 基於WMI執行攻擊技術 131
6.3 基於流覽器外掛程式實現持久化 132
6.4 基於進程注入實現提權 134
6.5 基於Rootkit實現防禦繞過 135
6.6 基於暴力破解獲得憑證存取權限 136
6.7 基於作業系統程式發現系統服務 138
6.8 基於SMB實現橫向移動 139
6.9 自動化收集內網數據 141
6.10 通過命令與控制通道傳遞攻擊載荷 142
6.11 成功竊取數據 143
6.12 通過停止服務造成危害 144
第7章 藍隊視角：攻擊技術的檢測示例 145
7.1 執行：T1059命令和腳本解譯器的檢測 146
7.2 持久化：T1543.003創建或修改系統進程（Windows服務）的檢測 147
7.3 許可權提升：T1546.015元件物件模型劫持的檢測 149
7.4 防禦繞過：T1055.001 DLL注入的檢測 150
7.5 憑證訪問：T1552.002註冊表中的憑證的檢測 152
7.6 發現：T1069.002域用戶組的檢測 153
7.7 橫向移動：T1550.002雜湊傳遞攻擊的檢測 154
7.8 收集：T1560.001通過程式壓縮的檢測 155

第三部分 ATT&CK實踐篇
第8章 ATT&CK應用工具與項目 158
8.1 ATT&CK三個關鍵工具 159
8.2 ATT&CK實踐應用專案 164
第9章 ATT&CK場景實踐 175
9.1 ATT&CK的四大使用場景 178
9.2 ATT&CK實踐的常見誤區 190
第10章 基於ATT&CK的安全運營 193
10.1 基於ATT&CK的運營流程 195
10.2 基於ATT&CK的運營實踐 200
10.3 基於ATT&CK的模擬攻擊 206
第11章 基於ATT&CK的威脅狩獵 218
11.1 威脅狩獵的開源專案 219
11.2 ATT&CK與威脅狩獵 224
11.3 威脅狩獵的行業實戰 231

第四部分 ATT&CK生態篇
第12章 MITRE Shield主動防禦框架 246
12.1 MITRE Shield背景介紹 247
12.2 MITRE Shield矩陣模型 249
12.3 MITRE Shield與ATT&CK的映射 253
12.4 MITRE Shield使用入門 254
第13章 ATT&CK測評 259
13.1 測評方法 260
13.2 測評流程 262
13.3 測評內容 264
13.4 測評結果 266

附錄A ATT&CK戰術及場景實踐 271
附錄B ATT&CK攻擊與SHIELD防禦映射圖 292
 

張福

青藤雲安全創始人、CEO。畢業于同濟大學，專注於前沿技術研究，在安全攻防領域有超過15年的探索和實踐。曾先後在多家知名互聯網企業，如第九城市、盛大網路、昆侖萬維，擔任技術和業務安全負責人。目前，張福擁有10余項自主智慧財產權發明專利，30余項軟體著作權。榮獲“改革開放40年網路安全領軍人物”、“中關村領軍人才”、“中關村創業之星”等稱號。程度程度，青藤雲安全聯合創始人、COO。畢業於首都師範大學，擅長網路攻防安全技術研究和大資料演算法研究，擁有軟著18項、專利15項，對雲計算安全、機器學習領域有極高學術造詣，對安全市場有深刻理解。

現兼任信通院、全國資訊安全標準化技術委員會外聘專家，《資訊安全研究》、《資訊網路安全》編委。參與多項雲安全標準制定、標準審核工作，發表過多篇論文被核心期刊收錄，榮獲“OSCAR尖峰開源技術傑出貢獻獎”。胡俊胡俊，青藤雲安全聯合創始人、產品副總裁。畢業于華中科技大學，中國資訊通信研究院可信雲專家組成員，武漢東湖高新技術開發區第十一批“3551光谷人才計畫”。曾在百納資訊了多款工具應用、海豚流覽器雲服務的開發。青藤創立後，開發“青藤萬相？主機自我調整安全平臺”、“青藤蜂巢？雲原生安全平臺”等產品，獲得發明專利10余項，是的安全產品專家，曾發表多篇論文並被中文核心期刊收錄。