本書由淺入深��,從原理到實踐��,從攻到防�,循序漸進地介紹了備受信息安全行業(yè)青睞的ATT&CK 框架,旨在幫助相關(guān)企業(yè)更好地將 ATT&CK 框架用于安全防御能力建設(shè)���。全書分為5 部分����,共 17 章��,詳細介紹了 ATT&CK 框架的整體架構(gòu)�����,如何利用 ATT&CK 框架檢測一些常見的攻擊組織���、惡意軟件和高頻攻擊技術(shù)��,以及 ATT&CK 在實踐中的落地應(yīng)用��,最后介紹了MITRE ATT&CK 相關(guān)的生態(tài)項目�,包括 MITRE Engage 以及 ATT&CK 測評���。本書適合網(wǎng)絡(luò)安全從業(yè)人員(包括 CISO��、CSO��、藍隊人員����、紅隊人員等)����、網(wǎng)絡(luò)安全研究人員等閱讀,也可供網(wǎng)絡(luò)空間安全����、信息安全等專業(yè)教學��、科研�、應(yīng)用人員參考�。
張福,青藤云安全聯(lián)合創(chuàng)始人&CEO,畢業(yè)于同濟大學����,專注于前沿技術(shù)研究,在安全攻防領(lǐng)域有超過15年的探索和實踐��,曾先后在國內(nèi)多家知名互聯(lián)網(wǎng)企業(yè)�,如第九城市、盛大網(wǎng)絡(luò)��、昆侖萬維��,擔任技術(shù)和業(yè)務(wù)安全負責人���。目前�����,張福擁有10余項自主知識產(chǎn)權(quán)發(fā)明專利����、30余項軟件著作權(quán)����,曾榮獲“改革開放40年網(wǎng)絡(luò)安全領(lǐng)軍人物”“ 中關(guān)村高端領(lǐng)軍人才”“中關(guān)村創(chuàng)業(yè)之星”等稱號。程度����,青藤云安全聯(lián)合創(chuàng)始人&COO,畢業(yè)于首都師范大學���,擅長網(wǎng)絡(luò)攻防安全技術(shù)研究和大數(shù)據(jù)算法研究�����,在云計算安全���、機器學習領(lǐng)域有很高的學術(shù)造詣,參與多項云安全標準制定和標準審核工作��,現(xiàn)兼任《信息安全研究》《信息網(wǎng)絡(luò)安全》編委��,曾發(fā)表多篇論文�����,并被國內(nèi)核心期刊收錄,曾獲“OSCAR尖峰開源技術(shù)杰出貢獻獎”�。胡俊,青藤云安全聯(lián)合創(chuàng)始人&產(chǎn)品副總裁�����,畢業(yè)于華中科技大學����,中國信息通信研究院可信云專家組成員,入選武漢東湖高新技術(shù)開發(fā)區(qū)第十一批“3551光谷人才計劃"���,曾在百納信息主導了多款工具應(yīng)用���、海豚瀏覽器云服務(wù)的開發(fā)。青藤云安全創(chuàng)立后��,主導開發(fā)“青藤萬相·主機自適應(yīng)安全平臺”“ 青藤蜂巢·云原生安全平臺”等產(chǎn)品��,獲得發(fā)明專利10余項�,是國家級安全產(chǎn)品專家,曾發(fā)表多篇論文���,并被中文核心期刊收錄����。
第一部分 ATT&CK 入門篇
第 1 章 潛心開始 MITRE ATT&CK 之旅 ............................................ 2
1.1 MITRE ATT&CK 是什么 .............................................................................. 3
1.1.1 MITRE ATT&CK 框架概述 .............................................................. 4
1.1.2 ATT&CK 框架背后的安全哲學 ....................................................... 9
1.1.3 ATT&CK 框架與 Kill Chain 模型的對比 ...................................... 11
1.1.4 ATT&CK 框架與痛苦金字塔模型的關(guān)系 ..................................... 13
1.2 ATT&CK 框架七大對象 ............................................................................. 13
1.3 ATT&CK 框架實例說明 ............................................................................. 21
1.3.1 ATT&CK 戰(zhàn)術(shù)實例 ......................................................................... 21
1.3.2 ATT&CK 技術(shù)實例 ......................................................................... 34
1.3.3 ATT&CK 子技術(shù)實例 ..................................................................... 37
第 2 章 基于 ATT&CK 框架的擴展知識庫 .......................................... 41
2.1 針對容器的 ATT&CK 攻防知識庫 ............................................................ 42
2.1.1 執(zhí)行命令行或進程 .......................................................................... 43
2.1.2 植入惡意鏡像實現(xiàn)持久化 .............................................................. 44
2.1.3 通過容器逃逸實現(xiàn)權(quán)限提升 .......................................................... 44
2.1.4 繞過或禁用防御機制 ...................................................................... 44
2.1.5 基于容器 API 獲取權(quán)限訪問 .......................................................... 45
2.1.6 容器資源發(fā)現(xiàn) .................................................................................. 45
2.2 針對 Kubernetes 的攻防知識庫 .................................................................. 46
2.2.1 通過漏洞實現(xiàn)對 Kubernetes 的初始訪問 ...................................... 47
2.2.2 執(zhí)行惡意代碼 .................................................................................. 48
2.2.3 持久化訪問權(quán)限 .............................................................................. 48
2.2.4 獲取更高訪問權(quán)限 .......................................................................... 49
2.2.5 隱藏蹤跡繞過檢測 .......................................................................... 50
2.2.6 獲取各類憑證 .................................................................................. 51
2.2.7 發(fā)現(xiàn)環(huán)境中的有用資源 .................................................................. 52
2.2.8 在環(huán)境中橫向移動 .......................................................................... 53
2.2.9 給容器化環(huán)境造成危害 .................................................................. 54
2.3 針對內(nèi)部威脅的 TTPs 攻防知識庫 ............................................................ 55
2.3.1 內(nèi)部威脅 TTPs 知識庫的研究范圍 ............................................... 56
2.3.2 與 ATT&CK 矩陣的關(guān)系 ................................................................ 57
2.3.3 內(nèi)部威脅者常用策略 ...................................................................... 58
2.3.4 針對內(nèi)部威脅的防御措施 .............................................................. 60
2.4 針對網(wǎng)絡(luò)安全對策的知識圖譜 MITRE D3FEND ..................................... 60
2.4.1 建立 D3FEND 的原因 ..................................................................... 61
2.4.2 構(gòu)建 MITRE D3FEND 的方法論 ................................................... 61
2.5 針對軟件供應(yīng)鏈的 ATT&CK 框架 OSC&R .............................................. 67
第二部分 ATT&CK 提高篇
第 3 章 十大攻擊組織/惡意軟件的分析與檢測 ...................................... 72
3.1 TA551 攻擊行為的分析與檢測 .................................................................. 73
3.2 漏洞利用工具 Cobalt Strike 的分析與檢測 ............................................... 75
3.3 銀行木馬 Qbot 的分析與檢測 .................................................................... 77
3.4 銀行木馬 lcedlD 的分析與檢測 .................................................................. 78
3.5 憑證轉(zhuǎn)儲工具 Mimikatz 的分析與檢測 ..................................................... 80
3.6 惡意軟件 Shlayer 的分析與檢測 ................................................................ 82
3.7 銀行木馬 Dridex 的分析與檢測 ................................................................. 83
3.8 銀行木馬 Emotet 的分析與檢測 ................................................................. 85
3.9 銀行木馬 TrickBot 的分析與檢測 .............................................................. 86
3.10 蠕蟲病毒 Gamarue 的分析與檢測 ............................................................ 87
第 4 章 十大高頻攻擊技術(shù)的分析與檢測 ............................................. 89
4.1 命令和腳本解析器(T1059)的分析與檢測 ............................................ 90
4.1.1 PowerShell(T1059.001)的分析與檢測 ...................................... 90
4.1.2 Windows Cmd Shell(T1059.003)的分析與檢測 ........................ 92
4.2 利用已簽名二進制文件代理執(zhí)行(T1218)的分析與檢測 .................... 94
4.2.1 Rundll32(T1218.011)的分析與檢測 .......................................... 94
4.2.2 Mshta(T1218.005)的分析與檢測 ............................................... 98
4.3 創(chuàng)建或修改系統(tǒng)進程(T1543)的分析與檢測 ...................................... 102
4.4 計劃任務(wù)/作業(yè)(T1053)的分析與檢測 ................................................. 105
4.5 OS 憑證轉(zhuǎn)儲(T1003)的分析與檢測 .................................................... 108
4.6 進程注入(T1055)的分析與檢測 .......................................................... 111
4.7 混淆文件或信息(T1027)的分析與檢測 .............................................. 114
4.8 入口工具轉(zhuǎn)移(T1105)的分析與檢測 .................................................. 117
4.9 系統(tǒng)服務(wù)(T1569)的分析與檢測 .......................................................... 119
4.10 偽裝(T1036)的分析與檢測 ................................................................ 121
第 5 章 紅隊視角:典型攻擊技術(shù)的復現(xiàn) ........................................... 123
5.1 基于本地賬戶的初始訪問 ........................................................................ 124
5.2 基于 WMI 執(zhí)行攻擊技術(shù) ......................................................................... 125
5.3 基于瀏覽器插件實現(xiàn)持久化 .................................................................... 126
5.4 基于進程注入實現(xiàn)提權(quán) ............................................................................ 128
5.5 基于 Rootkit 實現(xiàn)防御繞過 ...................................................................... 129
5.6 基于暴力破解獲得憑證訪問權(quán)限 ............................................................ 130
5.7 基于操作系統(tǒng)程序發(fā)現(xiàn)系統(tǒng)服務(wù) ............................................................ 132
5.8 基于 SMB 實現(xiàn)橫向移動 .......................................................................... 133
5.9 自動化收集內(nèi)網(wǎng)數(shù)據(jù) ................................................................................ 135
5.10 通過命令與控制通道傳遞攻擊載荷 ...................................................... 136
5.11 成功竊取數(shù)據(jù) .......................................................................................... 137
5.12 通過停止服務(wù)造成危害 .......................................................................... 138
第 6 章 藍隊視角:攻擊技術(shù)的檢測示例 ........................................... 139
6.1 執(zhí)行:T1059 命令和腳本解釋器的檢測 ................................................. 140
6.2 持久化:T1543.003 創(chuàng)建或修改系統(tǒng)進程(Windows 服務(wù))的檢測 .. 141
6.3 權(quán)限提升:T1546.015 組件對象模型劫持的檢測 .................................. 143
6.4 防御繞過:T1055.001 DLL 注入的檢測 ................................................. 144
6.5 憑證訪問:T1552.002 注冊表中的憑證的檢測 ...................................... 146
6.6 發(fā)現(xiàn):T1069.002 域用戶組的檢測 .......................................................... 147
6.7 橫向移動:T1550.002 哈希傳遞攻擊的檢測 .......................................... 148
6.8 收集:T1560.001 通過程序壓縮的檢測 .................................................. 149
第 7 章 不同形式的攻擊模擬 .......................................................... 150
7.1 基于紅藍對抗的全流程攻擊模擬 ............................................................ 151
7.1.1 模擬攻擊背景 ................................................................................ 152
7.1.2 模擬攻擊流程 ................................................................................ 153
7.2 微模擬攻擊的概述與應(yīng)用 ........................................................................ 162
7.2.1 微模擬攻擊計劃概述 .................................................................... 163
7.2.2 微模擬攻擊的應(yīng)用 ........................................................................ 164
第三部分 ATT&CK 場景與工具篇
第 8 章 ATT&CK 應(yīng)用工具與應(yīng)用項目 ........................................... 176
8.1 ATT&CK 四個關(guān)鍵項目工具 ................................................................... 177
8.1.1 Navigator 項目 ............................................................................... 177
8.1.2 CARET 項目 .................................................................................. 180
8.1.3 TRAM 項目 ................................................................................... 181
8.1.4 Workbench 項目 ............................................................................. 182
8.2 ATT&CK 實踐應(yīng)用項目 ........................................................................... 186
8.2.1 紅隊使用項目 ................................................................................ 186
8.2.2 藍隊使用項目 ................................................................................ 188
8.2.3 CTI 團隊使用 ................................................................................ 190
8.2.4 CSO 使用項目 ............................................................................... 195
第 9 章 ATT&CK 四大實踐場景 .................................................... 197
9.1 ATT&CK 的四大使用場景 ....................................................................... 200
9.1.1 威脅情報 ........................................................................................ 200
9.1.2 檢測分析 ........................................................................................ 203
9.1.3 模擬攻擊 ........................................................................................ 205
9.1.4 評估改進 ........................................................................................ 208
9.2 ATT&CK 實踐的常見誤區(qū) ....................................................................... 213
第四部分 ATT&CK 運營實戰(zhàn)篇
第 10 章 數(shù)據(jù)源是應(yīng)用 ATT&CK 的前提 ......................................... 218
10.1 當前 ATT&CK 數(shù)據(jù)源急需解決的問題 ................................................ 219
10.1.1 定義數(shù)據(jù)源 .................................................................................. 220
10.1.2 標準化命名語法 .......................................................................... 220
10.1.3 確保平臺一致性 .......................................................................... 222
10.2 改善 ATT&CK 數(shù)據(jù)源的使用情況 ........................................................ 224
10.2.1 利用數(shù)據(jù)建模 .............................................................................. 225
10.2.2 通過數(shù)據(jù)元素定義數(shù)據(jù)源 .......................................................... 226
10.2.3 整合數(shù)據(jù)建模和攻擊者建模 ...................................................... 226
10.2.4 擴展 ATT&CK 數(shù)據(jù)源對象 ........................................................ 227
10.2.5 使用數(shù)據(jù)組件擴展數(shù)據(jù)源 .......................................................... 228
10.3 ATT&CK 數(shù)據(jù)源的標準化定義與運用示例 ......................................... 230
10.3.1 改進進程監(jiān)控 .............................................................................. 231
10.3.2 改進 Windows 事件日志 ............................................................. 236
10.3.3 子技術(shù)用例 .................................................................................. 239
10.4 數(shù)據(jù)源在安全運營中的運用 .................................................................. 241
第 11 章 MITRE ATT&CK 映射實踐.............................................. 244
11.1 將事件報告映射到 MITRE ATT&CK .................................................... 245
11.2 將原始數(shù)據(jù)映射到 MITRE ATT&CK .................................................... 249
11.3 映射到 MITRE ATT&CK 時的常見錯誤與偏差 ................................... 251
11.4 通過 MITRE ATT&CK 編寫事件報告 ................................................... 254
11.5 ATT&CK for ICS 的映射建議 ................................................................ 257
第 12 章 基于 ATT&CK 的安全運營 ............................................... 260
12.1 基于 ATT&CK 的運營流程 .................................................................... 262
12.1.1 知己:分析現(xiàn)有數(shù)據(jù)源缺口 ...................................................... 262
12.1.2 知彼:收集網(wǎng)絡(luò)威脅情報 .......................................................... 263
12.1.3 實踐:分析測試 .......................................................................... 264
12.2 基于 ATT&CK 的運營評估 .................................................................... 267
12.2.1 將 ATT&CK 應(yīng)用于 SOC 的步驟 .............................................. 267
12.2.2 將 ATT&CK 應(yīng)用于 SOC 的技巧 .............................................. 271
第 13 章 基于 ATT&CK 的威脅狩獵 ............................................... 274
13.1 ATT&CK 讓狩獵過程透明化 ................................................................. 277
13.2 基于 TTPs 的威脅狩獵 ........................................................................... 280
13.2.1 檢測方法和數(shù)據(jù)類型分析 .......................................................... 281
13.2.2 威脅狩獵的方法實踐 .................................................................. 283
13.3 基于重點戰(zhàn)術(shù)的威脅狩獵 ...................................................................... 302
13.3.1 內(nèi)部偵察的威脅狩獵 .................................................................. 303
13.3.2 持久化的威脅狩獵 ...................................................................... 305
13.3.3 橫向移動的威脅狩獵 .................................................................. 311
第 14 章 多行業(yè)的威脅狩獵實戰(zhàn) ..................................................... 316
14.1 金融行業(yè)的威脅狩獵 .............................................................................. 317
14.2 企業(yè)機構(gòu)的威脅狩獵 .............................................................................. 324
第五部分 ATT&CK 生態(tài)篇
第 15 章 攻擊行為序列數(shù)據(jù)模型 Attack Flow .................................. 332
15.1 Attack Flow 的組成要素 ......................................................................... 333
15.2 Attack Flow 用例 ..................................................................................... 333
15.3 Attack Flow 的使用方法 ......................................................................... 335
第 16 章 主動作戰(zhàn)框架 MITRE Engage ......................................... 341
16.1 MITRE Engage 介紹 ................................................................................ 342
16.1.1 詳解 MITRE Engage 矩陣結(jié)構(gòu) ................................................... 342
16.1.2 MITRE Engage 與 MITRE ATT&CK 的映射關(guān)系 ..................... 344
16.1.3 Engage 與傳統(tǒng)網(wǎng)絡(luò)阻斷��、網(wǎng)絡(luò)欺騙間的關(guān)系 ......................... 344
16.2 MITRE Engage 矩陣入門實踐 ................................................................ 346
16.2.1 如何將 Engage 矩陣整合到企業(yè)網(wǎng)絡(luò)戰(zhàn)略中來 ........................ 346
16.2.2 Engage 實踐的四要素 ................................................................. 346
16.2.3 Engage 實踐落地流程:收集���、分析���、確認、實施 ................. 347
16.2.4 對抗作戰(zhàn)實施:10 步流程法 ..................................................... 348
第 17 章 ATT&CK 測評 ............................................................... 352
17.1 測評方法 .................................................................................................. 353
17.2 測評流程 .................................................................................................. 355
17.3 測評內(nèi)容 .................................................................................................. 357
17.3.1 ATT&CK for Enterprise 測評 ...................................................... 358
17.3.2 ATT&CK for ICS 測評 ................................................................ 361
17.3.3 托管服務(wù)測評 .............................................................................. 364
17.3.4 欺騙類測評 .................................................................................. 367
17.4 測評結(jié)果 .................................................................................................. 369
17.5 總結(jié) .......................................................................................................... 372
附錄 A ATT&CK 戰(zhàn)術(shù)及場景實踐 .................................................. 374
附錄 B ATT&CK 版本更新情況 ..................................................... 395
書單推薦
