第一部分 ATT&CK入门篇
第1章 潜心开始MlTRE ATT&CK之旅
1.1 MITRE ATT&CK是什么
1.1.1 MITRE ATT&CK框架概述
1.1.2 ATT&cK框架背后的安全哲学
1.1.3 ATT&CK框架与Kill Chain模型的对比
1.1.4 ATT&CK框架与痛苦金字塔模型的关系
1.2 ATT&CK框架七大对象
1.3 ATT&CK框架实例说明
1.3.1 ATT&cK战术实例
1.3.2 ATT&CK技术实例
1.3.3 ATT&CK子技术实例
第2章 基于ATT&CK框架的扩展知识库
2.1 针对容器的ATT&CK攻防知识库
2.1.1 执行命令行或进程
2.1.2 植入恶意镜像实现持久化
2.1.3 通过容器逃逸实现权限提升
2.1.4 绕过或禁用防御机制
2.1.5 基于容器API获取权限访问
2.1.6 容器资源发现
2.2 针对Kubernetes的攻防知识库
2.2.1 通过漏洞实现对Kubemetes的初始访问
2.2.2 执行恶意代码
2.2.3 持久化访问权限
2.2.4 获取更高访问权限
2.2.5 隐藏踪迹绕过检测
2.2.6 获取各类凭证
2.2.7 发现环境中的有用资源
2.2.8 在环境中横向移动
2.2.9 给容器化环境造成危害
2.3 针对内部威胁的TTPs攻防知识库
2.3.1 内部威胁TTPs知识库的研究范围
2.3.2 与ATT&CK矩阵的关系
2.3.3 内部威胁者常用策略
2.3.4 针对内部威胁的防御措施
2.4 针对网络安全对策的知识图谱MITRE D3FEND
2.4.1 建立D3FEND的原因
2.4.2 构建MITRE D3FEND的方法论
2.5 针对软件供应链的ATT&CK框架OSC&R
第二部分 ATT&CK提高篇
第3章 十大攻击组织/恶意软件的分析与检测
3.1 TA551攻击行为的分析与检测
3.2 漏洞利用工具Cobalt Strike的分析与检测
3.3 银行木马Qbot的分析与检测
3.4 银行木马lcedlD的分析与检测
3.5 凭证转储工具Mimikatz的分析与检测
3.6 恶意软件Shlayer的分析与检测
3.7 银行木马Dridex的分析与检测
3.8 银行木马Emotet的分析与检测
3.9 银行木马TrickBot的分析与检测
第三部分 ATT&CK场景与工具篇
第四部分 ATT&CK运营实战篇
第五部分 ATT&CK生态篇
附录A ATT&CK战术及场景实践
附录B ATT&CK版本更新情况
展开
