ATT&CK框架實踐指南

部分 ATT＆CK入門篇
第1章 潛心開始MITRE ATT＆CK之旅 2
1.1 MITRE ATT＆CK是什么 3
1.1.1 MITRE ATT＆CK框架概述 4
1.1.2 ATT＆CK框架背后的安全哲學 9
1.1.3 ATT＆CK框架與Kill Chain模型的對比 11
1.1.4 ATT＆CK框架與痛苦金字塔模型的關系 13
1.2 ATT＆CK框架的對象關系介紹 14
1.3 ATT＆CK框架實例說明 18
1.3.1 ATT＆CK戰(zhàn)術實例 18
1.3.2 ATT＆CK技術實例 31
1.3.3 ATT＆CK子技術實例 34
第2章 新場景示例：針對容器和Kubernetes的ATT＆CK攻防矩陣 38
2.1 針對容器的ATT＆CK攻防矩陣 39
2.1.1 執(zhí)行命令行或進程 40
2.1.2 植入惡意鏡像實現(xiàn)持久化 41
2.1.3 通過容器逃逸實現(xiàn)權限提升 41
2.1.4 繞過或禁用防御機制 41
2.1.5 基于容器API獲取權限訪問 42
2.1.6 容器資源發(fā)現(xiàn) 42
2.2 針對Kubernetes的攻防矩陣 42
2.2.1 通過漏洞實現(xiàn)對Kubernetes的初始訪問 43
2.2.2 惡意代碼執(zhí)行 44
2.2.3 持久化訪問權限 45
2.2.4 獲取更高訪問權限 46
2.2.5 隱藏蹤跡繞過檢測 47
2.2.6 獲取各類憑證 48
2.2.7 發(fā)現(xiàn)環(huán)境中的有用資源 49
2.2.8 在環(huán)境中橫向移動 50
2.2.9 給容器化環(huán)境造成危害 51
第3章 數據源：ATT＆CK應用實踐的前提 52
3.1 當前ATT＆CK數據源利用急需解決的問題 53
3.1.1 制定數據源定義 54
3.1.2 標準化命名語法 54
3.1.3 確保平臺一致性 57
3.2 升級ATT＆CK數據源的使用情況 59
3.2.1 利用數據建模 59
3.2.2 通過數據元素定義數據源 61
3.2.3 整合數據建模和攻擊者建模 62
3.2.4 將數據源作為對象集成到ATT＆CK框架中 62
3.2.5 擴展ATT＆CK數據源對象 63
3.2.6 使用數據組件擴展數據源 64
3.3 ATT＆CK數據源的運用示例 65
3.3.1 改進進程監(jiān)控 65
3.3.2 改進Windows事件日志 70
3.3.3 子技術用例 73
第二部分 ATT＆CK提高篇
第4章 十大攻擊組織和惡意軟件的分析與檢測 78
4.1 TA551攻擊行為的分析與檢測 79
4.2 漏洞利用工具Cobalt Strike的分析與檢測 81
4.3 銀行木馬Qbot的分析與檢測 83
4.4 銀行木馬lcedlD的分析與檢測 84
4.5 憑證轉儲工具Mimikatz的分析與檢測 86
4.6 惡意軟件Shlayer的分析與檢測 88
4.7 銀行木馬Dridex的分析與檢測 89
4.8 銀行木馬Emotet的分析與檢測 91
4.9 銀行木馬TrickBot的分析與檢測 92
4.10 蠕蟲病毒Gamarue的分析與檢測 93
第5章 十大高頻攻擊技術的分析與檢測 95
5.1 命令和腳本解析器（T1059）的分析與檢測 96
5.1.1 PowerShell（T1059.001）的分析與檢測 96
5.1.2 Windows Cmd Shell（T1059.003）的分析與檢測 98
5.2 利用已簽名二進制文件代理執(zhí)行（T1218）的分析與檢測 100
5.2.1 Rundll32（T1218.011）的分析與檢測 100
5.2.2 Mshta（T1218.005）的分析與檢測 104
5.3 創(chuàng)建或修改系統(tǒng)進程（T1543）的分析與檢測 108
5.4 計劃任務/作業(yè)（T1053）的分析與檢測 111
5.5 OS憑證轉儲（T1003）的分析與檢測 114
5.6 進程注入（T1055）的分析與檢測 117
5.7 混淆文件或信息（T1027）的分析與檢測 120
5.8 入口工具轉移（T1105）的分析與檢測 122
5.9 系統(tǒng)服務（T1569）的分析與檢測 124
5.10 偽裝（T1036）的分析與檢測 126
第6章 紅隊視角：典型攻擊技術的復現(xiàn) 129
6.1 基于本地賬戶的初始訪問 130
6.2 基于WMI執(zhí)行攻擊技術 131
6.3 基于瀏覽器插件實現(xiàn)持久化 132
6.4 基于進程注入實現(xiàn)提權 134
6.5 基于Rootkit實現(xiàn)防御繞過 135
6.6 基于暴力破解獲得憑證訪問權限 136
6.7 基于操作系統(tǒng)程序發(fā)現(xiàn)系統(tǒng)服務 138
6.8 基于SMB實現(xiàn)橫向移動 139
6.9 自動化收集內網數據 141
6.10 通過命令與控制通道傳遞攻擊載荷 142
6.11 成功竊取數據 143
6.12 通過停止服務造成危害 144
第7章 藍隊視角：攻擊技術的檢測示例 145
7.1 執(zhí)行：T1059命令和腳本解釋器的檢測 146
7.2 持久化：T1543.003創(chuàng)建或修改系統(tǒng)進程（Windows服務）的檢測 147
7.3 權限提升：T1546.015組件對象模型劫持的檢測 149
7.4 防御繞過：T1055.001 DLL注入的檢測 150
7.5 憑證訪問：T1552.002注冊表中的憑證的檢測 152
7.6 發(fā)現(xiàn)：T1069.002域用戶組的檢測 153
7.7 橫向移動：T1550.002哈希傳遞攻擊的檢測 154
7.8 收集：T1560.001通過程序壓縮的檢測 155
第三部分 ATT＆CK實踐篇
第8章 ATT＆CK應用工具與項目 158
8.1 ATT＆CK三個關鍵工具 159
8.1.1 ATT＆CK Navigator項目 159
8.1.2 ATT＆CK的CARET項目 161
8.1.3 TRAM項目 162
8.2 ATT＆CK實踐應用項目 164
8.2.1 紅隊使用項目 164
8.2.2 藍隊使用項目 167
8.2.3 CTI團隊使用 169
8.2.4 CSO使用項目 173
第9章 ATT＆CK場景實踐 175
9.1 ATT＆CK的四大使用場景 178
9.1.1 威脅情報 178
9.1.2 檢測分析 181
9.1.3 模擬攻擊 183
9.1.4 評估改進 186
9.2 ATT＆CK實踐的常見誤區(qū) 190
第10章 基于ATT＆CK的安全運營 193
10.1 基于ATT＆CK的運營流程 195
10.1.1 知彼：收集網絡威脅情報 195
10.1.2 知己：分析現(xiàn)有數據源缺口 196
10.1.3 實踐：分析測試 197
10.2 基于ATT＆CK的運營實踐 200
10.2.1 將ATT＆CK應用于SOC的步驟 200
10.2.2 將ATT＆CK應用于SOC的技巧 204
10.3 基于ATT＆CK的模擬攻擊 206
10.3.1 模擬攻擊背景 206
10.3.2 模擬攻擊流程 207
第11章 基于ATT＆CK的威脅狩獵 218
11.1 威脅狩獵的開源項目 219
11.1.1 Splunk App Threat Hunting 220
11.1.2 HELK 222
11.2 ATT＆CK與威脅狩獵 224
11.2.1 3個未知的問題 224
11.2.2 基于TTP的威脅狩獵 226
11.2.3 ATT＆CK讓狩獵過程透明化 228
11.3 威脅狩獵的行業(yè)實戰(zhàn) 231
11.3.1 金融行業(yè)的威脅狩獵 231
11.3.2 企業(yè)機構的威脅狩獵 239
第四部分 ATT＆CK生態(tài)篇
第12章 MITRE Shield主動防御框架 246
12.1 MITRE Shield背景介紹 247
12.2 MITRE Shield矩陣模型 249
12.2.1 主動防御戰(zhàn)術 250
12.2.2 主動防御技術 252
12.3 MITRE Shield與ATT＆CK的映射 253
12.4 MITRE Shield使用入門 254
12.4.1 Level 1示例 255
12.4.2 Level 2示例 257
12.4.3 Level 3示例 258
第13章 ATT＆CK測評 259
13.1 測評方法 260
13.2 測評流程 262
13.3 測評內容 264
13.4 測評結果 266
附錄A ATT＆CK戰(zhàn)術及場景實踐 271
附錄B ATT＆CK攻擊與SHIELD防御映射圖 292