信阅平台

编辑推荐

√ 全方位介绍ATT&CK在威胁情报、检测分析、模拟攻击、评估改进等方面的工具与应用，给出有效防御措施建议。

√ 本书体系框架来源于长期攻防对抗、攻击溯源、攻击手法分析的实战过程，实用性强、可落地、说得清、道得明。

√ 攻击视角下的战术与技术知识库，帮助企业开发、组织和使用基于威胁信息的防御策略及评估网络防御能力差距。

√ 构建较细粒度的攻击行为模型和更易共享的抽象框架，可用于攻击与防御能力评估、APT情报分析及攻防演练等。

展开

作者简介

张福

青藤云安全创始人&CEO，正高级工程师，毕业于同济大学，专注于前沿技术研究15年多，现任北京信息化协会信息技术应用创新工作委员会副理事长、中国网络安全产业联盟CCIA技术专家库专家、北京经济技术开发区科技创新企业商会“亦智慧智库专家”。目前，张福拥有10余项自主知识产权发明专利、30余项软件著作权，研究成果曾获得2021年度北京市科学技术奖科技进步二等奖。此外,张福还曾荣获“改革开放40年网络安全领军人物”“中关村高端领军人才”“中关村创业之星”等称号。

程度

青藤云安全联合创始人&COO，毕业于首都师范大学，擅长网络攻防安全技术研究和大数据算法研究，在云计算安全、机器学习领域有很高的学术造诣，参与多项云安全标准制定和标准审核工作，现兼任《信息安全研究》编委，曾发表多篇论文，并被国内核心期刊收录，曾获“OSCAR尖峰开源技术杰出贡献奖”。

胡俊

青藤云安全联合创始人&产品副总裁，毕业于华中科技大学，中国信息通信研究院可信云专家组成员，入选武汉东湖高新技术开发区第十—批“3551光谷人才计划”，曾在百纳信息主导了多款工具应用、海豚浏览器云服务的开发。青藤云安全创立后，主导开发“青藤万相•主机自适应安全平台”“青藤蜂巢·云原生安全平台”等产品，获得发明专利10余项，曾发表多篇论文，并被中文核心期刊收录。

万京平

青藤云安全副总裁兼安全服务中心负责人，高级工程师，国内资深网络安全专家，曾先后在大型央企及军队信息安全部门主持工作，现任“工业控制系统信息安全技术国家工程实验室”技术委员会委员。曾荣立三等功一次，荣获军队科技成果奖两项，获得中史企业优秀网络安全解决方案奖三项。主要研究方向为网络安全体系设计、安全运营体系建设、网络安全检查与评估等。

张焱

青藤云安全首席安全官，青藤网络空间研究院院长，研究员级高工，专注于网络安全领域的专业技术和理论研究，主持军民领域重点项自十余项。作为技术总师，曾先后在多家中央企业和省级政务云打造了网络安全整体保障服务新模式；作为中央网信重大工程专家，曾参与“十三五”规划某重大工程的总体设计工作。普获得军队科技进步—等奖、省部级科技进步—等奖、国防科技工业企业管理创新成果二等奖，荣获“中央企业青年岗位能手”称号，已获得国防发明专利二项，发表相关论文十余篇。

展开

部分目录

第一部分 ATT&CK 入门篇

第 1 章潜心开始 MITRE ATT&CK 之旅 ............................................ 2

1.1 MITRE ATT&CK 是什么 .................................. 3

1.1.1 MITRE ATT&CK 框架概述 .............................................................. 4

1.1.2 ATT&CK 框架背后的安全哲学 ....................................................... 9

1.1.3 ATT&CK 框架与 Kill Chain 模型的对比 ...................................... 11

1.1.4 ATT&CK 框架与痛苦金字塔模型的关系 ..................................... 13

1.2 ATT&CK 框架七大对象 ............................................................................. 13

1.3 ATT&CK 框架实例说明 ............................................................................. 21

1.3.1 ATT&CK 战术实例 ......................................................................... 21

1.3.2 ATT&CK 技术实例 ......................................................................... 34

1.3.3 ATT&CK 子技术实例 ..................................................................... 37

第 2 章基于 ATT&CK 框架的扩展知识库 .......................................... 41

2.1 针对容器的 ATT&CK 攻防知识库 ............................................................ 42

2.1.1 执行命令行或进程 ........................................ 44

2.1.3 通过容器逃逸实现权限提升 .......................................................... 44

2.1.4 绕过或禁用防御机制 ...................................................................... 44

2.1.5 基于容器 API 获取权限访问 .......................................................... 45

2.1.6 容器资源发现 .................................................................................. 45

2.2 针对 Kubernetes 的攻防知识库 .................................................................. 46

2.2.1 通过漏洞实现对 Kubernetes 的初始访问 ...................................... 47

2.2.2 执行恶意代码 .................................................................................. 48

2.2.3 持久化访问权限 .............................................................................. 48

2.2.4 获取更高访问权限 .......................................................................... 49

2.2.5 隐藏踪迹绕过检测 .......................................................................... 50

2.2.6 获取各类凭证 .................................................................................. 51

2.2.7 发现环境中的有用资源 .................................................................. 52

2.2.8 在环境中横向移动 .......................................................................... 53

2.2.9 给容器化环境造成危害 .................................................................. 54

2.3 针对内部威胁的 TTPs 攻防知识库 ............................................................ 55

2.3.1 内部威胁 TTPs 知识库的研究范围 ............................................... 56

2.3.2 与 ATT&CK 矩阵的关系 ................................................................ 57

2.3.3 内部威胁者常用策略 ...................................................................... 58

2.3.4 针对内部威胁的防御措施 .............................................................. 60

2.4 针对网络安全对策的知识图谱 MITRE D3FEND ..................................... 60

2.4.1 建立 D3FEND 的原因 ..................................................................... 61

2.4.2 构建 MITRE D3FEND 的方法论 ................................................... 61

2.5 针对软件供应链的 ATT&CK 框架 OSC&R .............................................. 67

第二部分 ATT&CK 提高篇

第 3 章十大攻击组织/恶意软件的分析与检测 ...................................... 72

3.1 TA551 攻击行为的分析与检测 .................................................................. 73

3.2 漏洞利用工具 Cobalt Strike 的分析与检测 ............................................... 75

3.3 银行木马 Qbot 的分析与检测 .................................................................... 77

3.4 银行木马 lcedlD 的分析与检测 .................................................................. 78

3.5 凭证转储工具 Mimikatz 的分析与检测 ..................................................... 80

3.6 恶意软件 Shlayer 的分析与检测 ................................................................ 82

3.7 银行木马 Dridex 的分析与检测 ................................................................. 83

3.8 银行木马 Emotet 的分析与检测 ................................................................. 85

3.9 银行木马 TrickBot 的分析与检测 .............................................................. 86

3.10 蠕虫病毒 Gamarue 的分析与检测 ............................................................ 87

第 4 章十大高频攻击技术的分析与检测 ............................................. 89

4.1 命令和脚本解析器（T1059）的分析与检测 ............................................ 90

4.1.1 PowerShell（T1059.001）的分析与检测 ...................................... 90

4.1.2 Windows Cmd Shell（T1059.003）的分析与检测 ........................ 92

4.2 利用已签名二进制文件代理执行（T1218）的分析与检测 .................... 94

4.2.1 Rundll32（T1218.011）的分析与检测 .......................................... 94

4.2.2 Mshta（T1218.005）的分析与检测 ............................................... 98

4.3 创建或修改系统进程（T1543）的分析与检测 ...................................... 102

4.4 计划任务/作业（T1053）的分析与检测 ................................................. 105

4.5 OS 凭证转储（T1003）的分析与检测 .................................................... 108

4.6 进程注入（T1055）的分析与检测 .......................................................... 111

4.7 混淆文件或信息（T1027）的分析与检测 .............................................. 114

4.8 入口工具转移（T1105）的分析与检测 .................................................. 117

4.9 系统服务（T1569）的分析与检测 .......................................................... 119

4.10 伪装（T1036）的分析与检测 ................................................................ 121

第 5 章红队视角：典型攻击技术的复现 ........................................... 123

5.1 基于本地账户的初始访问 ........................................................................ 124

5.2 基于 WMI 执行攻击技术 ......................................................................... 125

5.3 基于浏览器插件实现持久化 .................................................................... 126

5.4 基于进程注入实现提权 ............................................................................ 128

5.5 基于 Rootkit 实现防御绕过 ...................................................................... 129

5.6 基于暴力破解获得凭证访问权限 ............................................................ 130

5.7 基于操作系统程序发现系统服务 ............................................................ 132

5.8 基于 SMB 实现横向移动 .......................................................................... 133

5.9 自动化收集内网数据 ................................................................................ 135

5.10 通过命令与控制通道传递攻击载荷 ...................................................... 136

5.11 成功窃取数据 .......................................................................................... 137

5.12 通过停止服务造成危害 .......................................................................... 138

第 6 章蓝队视角：攻击技术的检测示例 ........................................... 139

6.1 执行：T1059 命令和脚本解释器的检测 ................................................. 140

6.2 持久化：T1543.003 创建或修改系统进程（Windows 服务）的检测 .. 141

6.3 权限提升：T1546.015 组件对象模型劫持的检测 .................................. 143

6.4 防御绕过：T1055.001 DLL 注入的检测 ................................................. 144

6.5 凭证访问：T1552.002 注册表中的凭证的检测 ...................................... 146

6.6 发现：T1069.002 域用户组的检测 .......................................................... 147

6.7 横向移动：T1550.002 哈希传递攻击的检测 .......................................... 148

6.8 收集：T1560.001 通过程序压缩的检测 .................................................. 149

第 7 章不同形式的攻击模拟 .......................................................... 150

7.1 基于红蓝对抗的全流程攻击模拟 ............................................................ 151

7.1.1 模拟攻击背景 ................................................................................ 152

7.1.2 模拟攻击流程 ................................................................................ 153

7.2 微模拟攻击的概述与应用 ........................................................................ 162

7.2.1 微模拟攻击计划概述 .................................................................... 163

7.2.2 微模拟攻击的应用 ........................................................................ 164

………………………………………………………………

展开