ATT & CK 框架實踐指南

張福 等

買這商品的人也買了...

商品描述

過去,入侵檢測能力的度量是個公認的行業難題,各個企業得安全負責人每年在入侵防護上都投入大量費用,但幾乎沒有人能回答CEO 的問題:"買了這麽多產品,我們的入侵防禦和檢測能力到底怎麽樣,能不能防住黑客?”。這個問題很難回答,核心原因是缺乏一個明確的、可衡量、可落地的標準。所以,防守方對於入侵檢測通常會陷入不可知和不確定的狀態中,既說不清自己的能力高低,也無法有效彌補自己的短板。 Mitre ATT&CK 的出現解決了這個行業難題。它給了我們一把尺子,讓我們可以用統一的標準去衡量自己的防禦和檢測能力。ATT&CK並非一個學院派的理論框架,而是來源於實戰。安全從業者們在長期的攻防對抗,攻擊溯源,攻擊手法分析的過程中,逐漸提煉總結,形成了實用性強、可落地、說得清道得明的體系框架。這個框架是先進的、充滿生命力的,而且具備非常高的使用價值。 青藤是一家專註於前沿技術研究的網絡安全公司,自2017年開始關註ATT&CK,經過多年系統性的研究、學習和探索,積累了相對比較成熟和系統化的資料,涵蓋了ATT&CK 的設計思想、核心架構、應用場景、技術復現、對抗實踐、指標評估等多方面的內容。研究越深入,愈發意識到Mitre ATT&CK 可以為行業帶來的貢獻。因此編寫本書,作為ATT&CK 系統性學習材料,希望讓更多的人瞭解ATT&CK,學習先進的理論體系,提升防守方的技術水平,加強攻防對抗能力。也歡迎大家一起加入到研究中,為這個體系的完善貢獻一份力量。

作者簡介

張福
青藤雲安全創始人&CEO。畢業於同濟大學,專注於前沿技術研究,在安全攻防領域有超過 15 年的探索和實踐。曾先後在國內多家知名互聯網企業,如第九城市、盛大網絡、崑崙萬維,擔任技術和業務安全負責人。目前,張福擁有 10 餘項自主知識產權發明專利,30 餘項軟件著作權。曾榮獲“改革開放 40 年網絡安全領軍人物”“中關村高端領軍人才”“中關村創業之星”等稱號。


程度
青藤雲安全聯合創始人&COO,畢業於首都師範大學,擅長網絡攻防安全技術研究和大數據算法研究,在雲計算安全、機器學習領域有很高的學術造詣,參與多項云安全標準制定和標準審核工作,現兼任《信息安全研究》《信息網絡安全》編委,曾發表多篇論文,並被國內核心期刊收錄,曾獲“OSCAR尖峰開源技術傑出貢獻獎”。


胡俊
青藤雲安全聯合創始人&產品副總裁,畢業於華中科技大學,中國信息通信研究院可信雲專家組成員,入選武漢東湖高新技術開發區第十一批“3551光谷人才計劃”,曾在百納信息主導了多款工具應用、海豚瀏覽器雲服務的開發。青藤雲安全創立後,主導開發“青藤萬相·主機自適應安全平台”“青藤蜂巢·雲原生安全平台”等產品,獲得發明專利10餘項,是公認的安全產品專家,曾發表多篇論文,並被中文核心期刊收錄。

目錄大綱

第一部分 ATT&CK入門篇
第1章 潛心開始MITRE ATT&CK之旅 2
1.1 MITRE ATT&CK是什麼 3
1.2 ATT&CK框架的對象關係介紹 14
1.3 ATT&CK框架實例說明 18

第2章 新場景示例:針對容器和Kubernetes的ATT&CK攻防矩陣 38
2.1 針對容器的ATT&CK攻防矩陣 39
2.2 針對Kubernetes的攻防矩陣 42

第3章 數據源:ATT&CK應用實踐的前提 52
3.1 當前ATT&CK數據源利用急需解決的問題 53
3.2 升級ATT&CK數據源的使用情況 59
3.3 ATT&CK數據源的運用示例 65

第二部分 ATT&CK提高篇
第4章 十大攻擊組織和惡意軟件的分析與檢測 78
4.1 TA551攻擊行為的分析與檢測 79
4.2 漏洞利用工具Cobalt Strike的分析與檢測 81
4.3 銀行木馬Qbot的分析與檢測 83
4.4 銀行木馬lcedlD的分析與檢測 84
4.5 憑證轉儲工具Mimikatz的分析與檢測 86
4.6 惡意軟件Shlayer的分析與檢測 88
4.7 銀行木馬Dridex的分析與檢測 89
4.8 銀行木馬Emotet的分析與檢測 91
4.9 銀行木馬TrickBot的分析與檢測 92
4.10 蠕蟲病毒Gamarue的分析與檢測 93

第5章 十大高頻攻擊技術的分析與檢測 95
5.1 命令和腳本解析器(T1059)的分析與檢測 96
5.1.1 PowerShell(T1059.001)的分析與檢測 96
5.1.2 Windows Cmd Shell(T1059.003)的分析與檢測 98
5.2 利用已簽名二進製文件代理執行(T1218)的分析與檢測 100
5.3 創建或修改系統進程(T1543)的分析與檢測 108
5.4 計劃任務/作業(T1053)的分析與檢測 111
5.5 OS憑證轉儲(T1003)的分析與檢測 114
5.6 進程註入(T1055)的分析與檢測 117
5.7 混淆文件或信息(T1027)的分析與檢測 120
5.8 入口工具轉移(T1105)的分析與檢測 122
5.9 系統服務(T1569)的分析與檢測 124
5.10 偽裝(T1036)的分析與檢測 126

第6章 紅隊視角:典型攻擊技術的複現 129
6.1 基於本地賬戶的初始訪問 130
6.2 基於WMI執行攻擊技術 131
6.3 基於瀏覽器插件實現持久化 132
6.4 基於進程註入實現提權 134
6.5 基於Rootkit實現防禦繞過 135
6.6 基於暴力破解獲得憑證訪問權限 136
6.7 基於操作系統程序發現系統服務 138
6.8 基於SMB實現橫向移動 139
6.9 自動化收集內網數據 141
6.10 通過命令與控制通道傳遞攻擊載荷 142
6.11 成功竊取數據 143
6.12 通過停止服務造成危害 144

第7章 藍隊視角:攻擊技術的檢測示例 145
7.1 執行:T1059命令和腳本解釋器的檢測 146
7.2 持久化:T1543.003創建或修改系統進程(Windows服務)的檢測 147
7.3 權限提升:T1546.015組件對像模型劫持的檢測 149
7.4 防禦繞過:T1055.001 DLL註入的檢測 150
7.5 憑證訪問:T1552.002註冊表中的憑證的檢測 152
7.6 發現:T1069.002域用戶組的檢測 153
7.7 橫向移動:T1550.002哈希傳遞攻擊的檢測 154
7.8 收集:T1560.001通過程序壓縮的檢測 155

第三部分 ATT&CK實踐篇
第8章 ATT&CK應用工具與項目 158
8.1 ATT&CK三個關鍵工具 159
8.2 ATT&CK實踐應用項目 164

第9章 ATT&CK場景實踐 175
9.1 ATT&CK的四大使用場景 178
9.2 ATT&CK實踐的常見誤區 190

第10章 基於ATT&CK的安全運營 193
10.1 基於ATT&CK的運營流程 195
10.2 基於ATT&CK的運營實踐 200
10.3 基於ATT&CK的模擬攻擊 206

第11章 基於ATT&CK的威脅狩獵 218
11.1 威脅狩獵的開源項目 219
11.2 ATT&CK與威脅狩獵 224
11.3 威脅狩獵的行業實戰 231

第四部分 ATT&CK生態篇
第12章 MITRE Shield主動防禦框架 246
12.1 MITRE Shield背景介紹 247
12.2 MITRE Shield矩陣模型 249
12.3 MITRE Shield與ATT&CK的映射 253
12.4 MITRE Shield使用入門 254

第13章 ATT&CK測評 259
13.1 測評方法 260
13.2 測評流程 262
13.3 測評內容 264
13.4 測評結果 266

附錄A ATT&CK戰術及場景實踐 271
附錄B ATT&CK攻擊與SHIELD防禦映射圖 292