ATT＆CK框架实践指南(第2版)

本书由浅入深，从原理到实践，从攻到防，循序渐进地介绍了备受信息安全行业青睐的ATT&CK 框架，旨在帮助相关企业更好地将 ATT&CK 框架用于安全防御能力建设。全书分为5 部分，共 17 章，详细介绍了 ATT&CK 框架的整体架构，如何利用 ATT&CK 框架检测一些常见的攻击组织、恶意软件和高频攻击技术，以及 ATT&CK 在实践中的落地应用，最后介绍了MITRE ATT&CK 相关的生态项目，包括 MITRE Engage 以及 ATT&CK 测评。
本书适合网络安全从业人员（包括 CISO、CSO、蓝队人员、红队人员等）、网络安全研究人员等阅读，也可供网络空间安全、信息安全等专业教学、科研、应用人员参考。

第一部分 ATT＆CK 入门篇
第 1 章 潜心开始 MITRE ATT＆CK 之旅 . 2
1.1 MITRE ATT＆CK 是什么 . 3
1.1.1 MITRE ATT＆CK 框架概述 . 4
1.1.2 ATT＆CK 框架背后的安全哲学 . 9
1.1.3 ATT＆CK 框架与 Kill Chain 模型的对比 . 11
1.1.4 ATT＆CK 框架与痛苦金字塔模型的关系 . 13
1.2 ATT＆CK 框架七大对象 . 13
1.3 ATT＆CK 框架实例说明 . 21
1.3.1 ATT＆CK 战术实例 . 21
1.3.2 ATT＆CK 技术实例 . 34
1.3.3 ATT＆CK 子技术实例 . 37
第 2 章 基于 ATT＆CK 框架的扩展知识库 . 41
2.1 针对容器的 ATT＆CK 攻防知识库 . 42
2.1.1 执行命令行或进程 . 43
2.1.2 植入恶意镜像实现持久化 . 44
2.1.3 通过容器逃逸实现权限提升 . 44
2.1.4 绕过或禁用防御机制 . 44
2.1.5 基于容器 API 获取权限访问 . 45
2.1.6 容器资源发现 . 45
2.2 针对 Kubernetes 的攻防知识库 . 46
2.2.1 通过漏洞实现对 Kubernetes 的初始访问 . 47
2.2.2 执行恶意代码 . 48
2.2.3 持久化访问权限 . 48
2.2.4 获取更高访问权限 . 49
2.2.5 隐藏踪迹绕过检测 . 50
2.2.6 获取各类凭证 . 51
2.2.7 发现环境中的有用资源 . 52
2.2.8 在环境中横向移动 . 53
2.2.9 给容器化环境造成危害 . 54
2.3 针对内部威胁的 TTPs 攻防知识库 . 55
2.3.1 内部威胁 TTPs 知识库的研究范围 . 56
2.3.2 与 ATT＆CK 矩阵的关系 . 57
2.3.3 内部威胁者常用策略 . 58
2.3.4 针对内部威胁的防御措施 . 60
2.4 针对网络安全对策的知识图谱 MITRE D3FEND . 60
2.4.1 建立 D3FEND 的原因 . 61
2.4.2 构建 MITRE D3FEND 的方法论 . 61
2.5 针对软件供应链的 ATT＆CK 框架 OSC＆R . 67
第二部分 ATT＆CK 提高篇
第 3 章 十大攻击组织/恶意软件的分析与检测 . 72
3.1 TA551 攻击行为的分析与检测 . 73
3.2 漏洞利用工具 Cobalt Strike 的分析与检测 . 75
3.3 银行木马 Qbot 的分析与检测 . 77
3.4 银行木马 lcedlD 的分析与检测 . 78
3.5 凭证转储工具 Mimikatz 的分析与检测 . 80
3.6 恶意软件 Shlayer 的分析与检测 . 82
3.7 银行木马 Dridex 的分析与检测 . 83
3.8 银行木马 Emotet 的分析与检测 . 85
3.9 银行木马 TrickBot 的分析与检测 . 86
3.10 蠕虫病毒 Gamarue 的分析与检测 . 87
第 4 章 十大高频攻击技术的分析与检测 . 89
4.1 命令和脚本解析器（T1059）的分析与检测 . 90
4.1.1 PowerShell（T1059.001）的分析与检测 . 90
4.1.2 Windows Cmd Shell（T1059.003）的分析与检测 . 92
4.2 利用已签名二进制文件代理执行（T1218）的分析与检测 . 94
4.2.1 Rundll32（T1218.011）的分析与检测 . 94
4.2.2 Mshta（T1218.005）的分析与检测 . 98
4.3 创建或修改系统进程（T1543）的分析与检测 . 102
4.4 计划任务/作业（T1053）的分析与检测 . 105
4.5 OS 凭证转储（T1003）的分析与检测 . 108
4.6 进程注入（T1055）的分析与检测 . 111
4.7 混淆文件或信息（T1027）的分析与检测 . 114
4.8 入口工具转移（T1105）的分析与检测 . 117
4.9 系统服务（T1569）的分析与检测 . 119
4.10 伪装（T1036）的分析与检测 . 121
第 5 章 红队视角：典型攻击技术的复现 . 123
5.1 基于本地账户的初始访问 . 124
5.2 基于 WMI 执行攻击技术 . 125
5.3 基于浏览器插件实现持久化 . 126
5.4 基于进程注入实现提权 . 128
5.5 基于 Rootkit 实现防御绕过 . 129
5.6 基于暴力破解获得凭证访问权限 . 130
5.7 基于操作系统程序发现系统服务 . 132
5.8 基于 SMB 实现横向移动 . 133
5.9 自动化收集内网数据 . 135
5.10 通过命令与控制通道传递攻击载荷 . 136
5.11 成功窃取数据 . 137
……