ATT＆CK框架实践指南

扉页
版权页
推荐序
推荐语
序言
前言
目录
第一部分　ATT&CK入门篇
第1章　潜心开始MITRE ATT&CK之旅
1.1 MITRE ATT&CK是什么
1.1.1 MITRE ATT&CK框架概述
1.1.2 ATT&CK框架背后的安全哲学
1.1.3 ATT&CK框架与Kill Chain模型的对比
1.1.4 ATT&CK框架与痛苦金字塔模型的关系
1.2 ATT&CK框架的对象关系介绍
1.3 ATT&CK框架实例说明
1.3.1 ATT&CK战术实例
1.3.2 ATT&CK技术实例
1.3.3 ATT&CK子技术实例
第2章　新场景示例：针对容器和Kubernetes的ATT&CK攻防矩阵
2.1 针对容器的ATT&CK攻防矩阵
2.1.1 执行命令行或进程
2.1.2 植入恶意镜像实现持久化
2.1.3 通过容器逃逸实现权限提升
2.1.4 绕过或禁用防御机制
2.1.5 基于容器API获取权限访问
2.1.6 容器资源发现
2.2 针对Kubernetes的攻防矩阵
2.2.1 通过漏洞实现对Kubernetes的初始访问
2.2.2 恶意代码执行
2.2.3 持久化访问权限
2.2.4 获取更高访问权限
2.2.5 隐藏踪迹绕过检测
2.2.6 获取各类凭证
2.2.7 发现环境中的有用资源
2.2.8 在环境中横向移动
2.2.9 给容器化环境造成危害
第3章　数据源：ATT&CK应用实践的前提
3.1 当前ATT&CK数据源利用急需解决的问题
3.1.1 制定数据源定义
3.1.2 标准化命名语法
3.1.3 确保平台一致性
3.2 升级ATT&CK数据源的使用情况
3.2.1 利用数据建模
3.2.2 通过数据元素定义数据源
3.2.3 整合数据建模和攻击者建模
3.2.4 将数据源作为对象集成到ATT&CK框架中
3.2.5 扩展ATT&CK数据源对象
3.2.6 使用数据组件扩展数据源
3.3 ATT&CK数据源的运用示例
3.3.1 改进进程监控
3.3.2 改进Windows事件日志
3.3.3 子技术用例
第二部分　ATT&CK提高篇
第4章　十大攻击组织和恶意软件的分析与检测
4.1 TA551攻击行为的分析与检测
4.2 漏洞利用工具Cobalt Strike的分析与检测
4.3 银行木马Qbot的分析与检测
4.4 银行木马lcedlD的分析与检测
4.5 凭证转储工具Mimikatz的分析与检测
4.6 恶意软件Shlayer的分析与检测
4.7 银行木马Dridex的分析与检测
4.8 银行木马Emotet的分析与检测
4.9 银行木马TrickBot的分析与检测
4.10 蠕虫病毒Gamarue的分析与检测
第5章　十大高频攻击技术的分析与检测
5.1 命令和脚本解析器（T1059）的分析与检测
5.1.1 PowerShell（T1059.001）的分析与检测
5.1.2 Windows Cmd Shell（T1059.003）的分析与检测
5.2 利用已签名二进制文件代理执行（T1218）的分析与检测
5.2.1 Rundll32（T1218.011）的分析与检测
5.2.2 Mshta（T1218.005）的分析与检测
5.3 创建或修改系统进程（T1543）的分析与检测
5.4 计划任务/作业（T1053）的分析与检测
5.5 OS凭证转储（T1003）的分析与检测
5.6 进程注入（T1055）的分析与检测
5.7 混淆文件或信息（T1027）的分析与检测
5.8 入口工具转移（T1105）的分析与检测
5.9 系统服务（T1569）的分析与检测
5.10 伪装（T1036）的分析与检测
第6章　红队视角：典型攻击技术的复现
6.1 基于本地账户的初始访问
6.2 基于WMI执行攻击技术
6.3 基于浏览器插件实现持久化
6.4 基于进程注入实现提权
6.5 基于Rootkit实现防御绕过
6.6 基于暴力破解获得凭证访问权限
6.7 基于操作系统程序发现系统服务
6.8 基于SMB实现横向移动
6.9 自动化收集内网数据
6.10 通过命令与控制通道传递攻击载荷
6.11 成功窃取数据
6.12 通过停止服务造成危害
第7章　蓝队视角：攻击技术的检测示例
7.1 执行：T1059命令和脚本解释器的检测
7.2 持久化：T1543.003创建或修改系统进程（Windows服务）的检测
7.3 权限提升：T1546.015组件对象模型劫持的检测
7.4 防御绕过：T1055.001 DLL注入的检测
7.5 凭证访问：T1552.002注册表中的凭证的检测
7.6 发现：T1069.002域用户组的检测
7.7 横向移动：T1550.002哈希传递攻击的检测
7.8 收集：T1560.001通过程序压缩的检测
第三部分　ATT&CK实践篇
第8章　ATT&CK应用工具与项目
8.1 ATT&CK三个关键工具
8.1.1 ATT&CK Navigator项目
8.1.2 ATT&CK的CARET项目
8.1.3 TRAM项目
8.2 ATT&CK实践应用项目
8.2.1 红队使用项目
8.2.2 蓝队使用项目
8.2.3 CTI团队使用
8.2.4 CSO使用项目
第9章　ATT&CK场景实践
9.1 ATT&CK的四大使用场景
9.1.1 威胁情报
9.1.2 检测分析
9.1.3 模拟攻击
9.1.4 评估改进
9.2 ATT&CK实践的常见误区
第10章　基于ATT&CK的安全运营
10.1 基于ATT&CK的运营流程
10.1.1 知彼：收集网络威胁情报
10.1.2 知己：分析现有数据源缺口
10.1.3 实践：分析测试
10.2 基于ATT&CK的运营实践
10.2.1 将ATT&CK应用于SOC的步骤
10.2.2 将ATT&CK应用于SOC的技巧
10.3 基于ATT&CK的模拟攻击
10.3.1 模拟攻击背景
10.3.2 模拟攻击流程
第11章　基于ATT&CK的威胁狩猎
11.1 威胁狩猎的开源项目
11.1.1 Splunk App Threat Hunting
11.1.2 HELK
11.2 ATT&CK与威胁狩猎
11.2.1 3个未知的问题
11.2.2 基于TTP的威胁狩猎
11.2.3 ATT&CK让狩猎过程透明化
11.3 威胁狩猎的行业实战
11.3.1 金融行业的威胁狩猎
11.3.2 企业机构的威胁狩猎
第四部分　ATT&CK生态篇
第12章　MITRE Shield主动防御框架
12.1 MITRE Shield背景介绍
12.2 MITRE Shield矩阵模型
12.2.1 主动防御战术
12.2.2 主动防御技术
12.3 MITRE Shield与ATT&CK的映射
12.4 MITRE Shield使用入门
12.4.1 Level 1示例
12.4.2 Level 2示例
12.4.3 Level 3示例
第13章　ATT&CK测评
13.1 测评方法
13.2 测评流程
13.3 测评内容
13.4 测评结果
13.5 总结
附录A　ATT&CK战术及场景实践
附录B　ATT&CK攻击与SHIELD防御映射图