戰術 + 技術 + 程序 -- ATT＆CK 框架無差別學習

☆★☆★【ATT & CK框架第一本繁體中文書！】★☆★☆
完整了解ATT & CK框架，建立屬於自己的最強之盾！

在這個混亂的數位世界中，會不會常常擔心自己的網站、平台、雲端主機，甚至是公司內網被駭客攻擊？需不需要常常去看資安匯報，看看在Windows、Linux上又有哪些服務的新漏洞又被發現？生活越方便，應用越複雜，產生的漏洞就更多，甚至連GitHub都不再安全！有沒有高手或專家，能把整個攻擊的工具、技術、測試、應用、防護、流程都整合到一個框架中？有的！MITRE ATT & CK就是你要的答案。這個整合了所有資安應用的框架，早已成為全球各大公司用來防護檢測系統的必用工具。現在這個只存在於高手大腦中的超棒產品，終於有中文書了。本書是全球第一本繁體中文的ATT & CK書籍，將整個框架的整體架構、應用、實作，流程用最清楚的語言完整介紹一遍，並且有真正紅藍隊員必讀的攻防戰略及技術。防範漏洞及駭客不再依賴你攻我防的小戰場，將整個資安戰略拉抬到新的高度，建立永續安全的服務就靠ATT & CK。

本書看點
✪精解ATT & CK框架的全貌
✪容器及K8s時代的ATT & CK戰略
✪各式銀行木馬、蠕蟲的防範實戰
✪10大最常見攻擊的ATT & CK防範技術
✪WMI、Rootkit、SMB、瀏覽器、資料庫植入的攻防技術
✪ATT & CK Navigator、Caret、TRAM專案實作
✪威脅情報、檢測分析、模擬攻擊、評估改進的應用實例
✪ATT & CK的威脅狩獵完整攻防介紹
✪MITRE Sheild三階段的模擬實作
✪完整ATT & CK評測流程

序

過去，入侵偵測能力的度量一直是網路安全領域的產業難題，各個企業每年在入侵防護上都投入了不少錢，但是幾乎沒有安全人員能回答CEO的問題：「買了這麼多安全產品，我們的入侵防禦和檢測能力到底怎麼樣，能不能防住駭客？」這個問題很難回答，核心原因是缺乏一個明確的、可衡量的、可實作的標準。所以，防守方對於入侵偵測能力的判定通常會陷入不可知和不確定的狀態中，既說不清自己能力的高低，也無法有效彌補自己的缺陷。

MITRE ATT&CK的出現解決了這個產業難題。它給了我們一把尺標，讓我們可以用統一的標準去衡量自己的防禦和檢測能力。ATT&CK並非是一個學院派的理論框架，而是來自實戰。ATT&CK框架是安全從業者們在長期的攻防對抗、攻擊溯源、攻擊手法分析的過程中，逐漸提煉複習而形成的實用性強、可實作、說得清道得明的系統框架。這個框架是先進的、充滿生命力的，而且具備非常高的使用價值。

儘管MITRE ATT&CK毫無疑問是近幾年安全領域最熱門的話題之一，大多數安全產業從業者或多或少都聽說過它，但是由於時間、精力、資料有限等原因，能夠深入研究ATT&CK的研究者寥寥無幾。本書作者團隊因為公司業務的需要，早在幾年前就開始關注 ATT&CK 的發展，並且從2018年開始系統性地對ATT&CK進行研究。經過三年多的研究、學習和探索，累積了相對比較成熟和系統化的研究材料，內容涵蓋了從ATT&CK 框架的基本介紹、戰術與技術解析，到攻擊技術的複現、分析與檢測，到實際應用與實踐，以及ATT&CK 生態的發展。

研究得越多，我們越意識到MITRE ATT&CK 可以為產業帶來的貢獻。因此，我們撰寫了本書，作為ATT&CK 框架的系統性學習材料，希望讓更多人了解ATT&CK，學習先進的理論系統，提升防守方的技術水準，加強攻防對抗能力。我們也歡迎大家一起加入到研究中，為這個系統的完善貢獻一份力量。

張福
 

張福
青藤雲安全創始人&CEO。畢業於同濟大學，專注於前沿技術研究，在安全攻防領域有超過 15 年的探索和實踐。曾先後在國內多家知名互聯網企業，如第九城市、盛大網絡、崑崙萬維，擔任技術和業務安全負責人。目前，張福擁有 10 餘項自主知識產權發明專利，30 餘項軟體著作權。曾榮獲“改革開放 40 年網路安全領軍人物”“中關村高端領軍人才”“中關村創業之星”等稱號。

程度
青藤雲安全聯合創始人&COO，畢業於首都師範大學，擅長網路攻防安全技術研究和大數據算法研究，在雲計算安全、機器學習領域有很高的學術造詣，參與多項雲安全標準制定和標準審核工作，現兼任《信息安全研究》《信息網路安全》編委，曾發表多篇論文，並被國內核心期刊收錄，曾獲“OSCAR尖峰開源技術傑出貢獻獎”。

胡俊
青藤雲安全聯合創始人&產品副總裁，畢業於華中科技大學，中國信息通信研究院可信雲專家組成員，入選武漢東湖高新技術開發區第十一批“3551光谷人才計劃”，曾在百納信息主導了多款工具應用、海豚瀏覽器雲服務的開發。青藤雲安全創立後，主導開發“青藤萬相·主機自適應安全平台”“青藤蜂巢·雲原生安全平台”等產品，獲得發明專利10餘項，是公認的安全產品專家，曾發表多篇論文，並被中文核心期刊收錄。

第一部分　ATT&CK 入門篇
01 潛心開始MITRE ATT&CK 之旅
1.1 MITRE ATT&CK 是什麼
1.2 ATT&CK 框架的物件關係介紹
1.3 ATT&CK 框架實例說明

02 新場景範例：針對容器和Kubernetes 的ATT&CK攻防矩陣
2.1 針對容器的ATT&CK 攻防矩陣
2.2 針對Kubernetes 的攻防矩陣

03 資料來源：ATT&CK 應用實踐的前提
3.1 當前ATT&CK 資料來源利用急需解決的問題
3.2 升級ATT&CK 資料來源的使用情況
3.3 ATT&CK 資料來源的運用範例

第二部分　ATT&CK 提昇篇
04 十大攻擊組織和惡意軟體的分析與檢測
4.1 TA551 攻擊行為的分析與檢測
4.2 漏洞利用工具Cobalt Strike 的分析與檢測
4.3 銀行木馬Qbot 的分析與檢測
4.4 銀行木馬lcedlD 的分析與檢測
4.5 憑證轉存工具Mimikatz 的分析與檢測
4.6 惡意軟體Shlayer 的分析與檢測
4.7 銀行木馬Dridex 的分析與檢測
4.8 銀行木馬Emotet 的分析與檢測
4.9 銀行木馬TrickBot 的分析與檢測
4.10 蠕蟲病毒Gamarue 的分析與檢測

05 十大高頻攻擊技術的分析與檢測
5.1 命令和指令稿解析器（T1059）的分析與檢測
5.2 利用已簽名二進位檔案代理執行（T1218）的分析與檢測
5.3 建立或修改系統處理程序（T1543）的分析與檢測
5.4 計畫任務/ 作業（T1053）的分析與檢測
5.5 OS 憑證轉存（T1003）的分析與檢測
5.6 處理程序注入（T1055）的分析與檢測
5.7 混淆檔案或資訊（T1027）的分析與檢測
5.8 入口工具轉移（T1105）的分析與檢測
5.9 系統服務（T1569）的分析與檢測
5.10 偽裝（T1036）的分析與檢測

06 紅隊角度：典型攻擊技術的重現
6.1 基於本地帳戶的初始存取
6.2 基於WMI 執行攻擊技術
6.3 基於瀏覽器外掛程式實現持久化
6.4 基於處理程序注入實現提權
6.5 基於Rootkit 實現防禦繞過
6.6 基於暴力破解獲得憑證存取權限
6.7 基於作業系統程式發現系統服務
6.8 基於SMB 實現水平移動
6.9 自動化收集內網資料
6.10 透過命令與控制通道傳遞攻擊酬載
6.11 成功竊取資料
6.12 透過停止服務造成危害

07 藍隊角度：攻擊技術的檢測範例
7.1 執行：T1059 命令和指令稿解譯器的檢測
7.2 持久化：T1543.003 建立或修改系統處理程序（Windows 服務）的檢測
7.3 許可權提升：T1546.015 元件物件模型綁架的檢測
7.4 防禦繞過：T1055.001 DLL 注入的檢測
7.5 憑證存取：T1552.002 登錄檔中的憑證的檢測
7.6 發現：T1069.002 域使用者群組的檢測
7.7 水平移動：T1550.002 雜湊傳遞攻擊的檢測
7.8 收集：T1560.001 透過程式壓縮的檢測

第三部分　ATT&CK 實踐篇
08 ATT&CK 應用工具與專案
8.1 ATT&CK 三個關鍵工具
8.2 ATT&CK 實踐應用專案

09 ATT&CK 場景實踐
9.1 ATT&CK 的四大使用場景
9.2 ATT&CK 實踐的常見誤區

10 基於ATT&CK 的安全營運
10.1 基於ATT&CK 的營運流程
10.2 基於ATT&CK 的營運實踐
10.3 基於ATT&CK 的模擬攻擊

11 基於ATT&CK 的威脅狩獵
11.1 威脅狩獵的開放原始碼專案
11.2 ATT&CK 與威脅狩獵
11.3 威脅狩獵的產業實戰

第四部分　ATT&CK 生態篇
12 MITRE Shield 主動防禦框架
12.1 MITRE Shield 背景介紹
12.2 MITRE Shield 矩陣模型
12.3 MITRE Shield 與ATT&CK 的映射
12.4 MITRE Shield 使用入門

13 ATT&CK 評測
13.1 評測方法
13.2 評測流程
13.3 評測內容
13.4 評測結果
13.5 複習

A. ATT&CK 戰術及場景實踐
A.1 偵察
A.2 資源開發
A.3 初始存取
A.4 執行
A.5 持久化
A.6 許可權提升
A.7 防禦繞過
A.8 憑證存取
A.9 發現
A.10 水平移動
A.11 收集
A.12 命令與控制
A.13 資料竊取
A.14 危害
B. ATT&CK 攻擊與SHIELD 防禦映射圖
C. 參考文獻