《ATT&CK框架實踐指南(第2版)》由淺入深,從原理到實踐,從攻到防,循序漸進地介紹了備受信息安全行業青睞的ATT&CK 框架。全書分為5 部分,共 17 章。
基本介紹
- 中文名:ATT&CK框架實踐指南(第2版)
- 作者:張福 等
- 出版時間:2023年8月
- 出版社:電子工業出版社
- 頁數:420 頁
- ISBN:9787121453182
- 定價:160.00 元
內容簡介,圖書目錄,
內容簡介
《ATT&CK框架實踐指南(第2版)》由淺入深,從原理到實踐,從攻到防,循序漸進地介紹了備受信息安全行業青睞的ATT&CK 框架,旨在幫助相關企業更好地將 ATT&CK 框架用於安全防禦能力建設。
圖書目錄
第一部分 ATT&CK 入門篇
第 1 章潛心開始 MITRE ATT&CK 之旅 ............................................ 2
1.1 MITRE ATT&CK 是什麼..............................................................................3
1.1.1 MITRE ATT&CK 框架概述 .............................................................. 4
1.1.2 ATT&CK 框架背後的安全哲學 ....................................................... 9
1.1.3 ATT&CK 框架與 Kill Chain 模型的對比...................................... 11
1.1.4 ATT&CK 框架與痛苦金字塔模型的關係 ..................................... 13
1.2 ATT&CK 框架七大對象 .............................................................................13
1.3 ATT&CK 框架實例說明.............................................................................21
1.3.1 ATT&CK 戰術實例......................................................................... 21
1.3.2 ATT&CK 技術實例 .........................................................................34
1.3.3 ATT&CK 子技術實例..................................................................... 37
第 2 章基於 ATT&CK 框架的擴展知識庫 .......................................... 41
2.1 針對容器的 ATT&CK 攻防知識庫............................................................ 42
2.1.1 執行命令行或進程.......................................................................... 43
2.1.2 植入惡意鏡像實現持久化 .............................................................. 44
2.1.3 通過容器逃逸實現許可權提升 .......................................................... 44
2.1.4 繞過或禁用防禦機制...................................................................... 44
2.1.5 基於容器 API 獲取許可權訪問.......................................................... 45
2.1.6 容器資源發現..................................................................................45
2.2 針對 Kubernetes 的攻防知識庫.................................................................. 46
2.2.1 通過漏洞實現對 Kubernetes 的初始訪問...................................... 47
2.2.2 執行惡意代碼..................................................................................48
2.2.3 持久化訪問許可權..............................................................................48
2.2.4 獲取更高訪問許可權 ..........................................................................49
2.2.5 隱藏蹤跡繞過檢測.......................................................................... 50
2.2.6 獲取各類憑證..................................................................................51
2.2.7 發現環境中的有用資源 ..................................................................52
2.2.8 在環境中橫向移動.......................................................................... 53
2.2.9 給容器化環境造成危害 ..................................................................54
2.3 針對內部威脅的 TTPs 攻防知識庫............................................................ 55
2.3.1 內部威脅 TTPs 知識庫的研究範圍............................................... 56
2.3.2 與 ATT&CK 矩陣的關係................................................................ 57
2.3.3 內部威脅者常用策略...................................................................... 58
2.3.4 針對內部威脅的防禦措施 .............................................................. 60
2.4 針對網路安全對策的知識圖譜 MITRE D3FEND ..................................... 60
2.4.1 建立 D3FEND 的原因 .....................................................................61
2.4.2 構建 MITRE D3FEND 的方法論................................................... 61
2.5 針對軟體供應鏈的 ATT&CK 框架 OSC&R.............................................. 67
第二部分 ATT&CK 提高篇
第 3 章十大攻擊組織/惡意軟體的分析與檢測 ...................................... 72
3.1 TA551 攻擊行為的分析與檢測 ..................................................................73
3.2 漏洞利用工具 Cobalt Strike 的分析與檢測............................................... 75
3.3 銀行木馬 Qbot 的分析與檢測 ....................................................................77
3.4 銀行木馬 lcedlD 的分析與檢測.................................................................. 78
3.5 憑證轉儲工具 Mimikatz 的分析與檢測..................................................... 80
3.6 惡意軟體 Shlayer 的分析與檢測................................................................ 82
3.7 銀行木馬 Dridex 的分析與檢測................................................................. 83
3.8 銀行木馬 Emotet 的分析與檢測................................................................. 85
3.9 銀行木馬 TrickBot 的分析與檢測.............................................................. 86
3.10 蠕蟲病毒 Gamarue 的分析與檢測............................................................ 87
第 4 章十大高頻攻擊技術的分析與檢測............................................. 89
4.1 命令和腳本解析器(T1059)的分析與檢測............................................ 90
4.1.1 PowerShell(T1059.001)的分析與檢測...................................... 90
4.1.2 Windows Cmd Shell(T1059.003)的分析與檢測........................ 92
4.2 利用已簽名二進制檔案代理執行(T1218)的分析與檢測 ....................94
4.2.1 Rundll32(T1218.011)的分析與檢測.......................................... 94
4.2.2 Mshta(T1218.005)的分析與檢測............................................... 98
4.3 創建或修改系統進程(T1543)的分析與檢測...................................... 102
4.4 計畫任務/作業(T1053)的分析與檢測 ................................................. 105
4.5 OS 憑證轉儲(T1003)的分析與檢測.................................................... 108
4.6 進程注入(T1055)的分析與檢測.......................................................... 111
4.7 混淆檔案或信息(T1027)的分析與檢測 ..............................................114
4.8 入口工具轉移(T1105)的分析與檢測.................................................. 117
4.9 系統服務(T1569)的分析與檢測 ..........................................................119
4.10 偽裝(T1036)的分析與檢測 ................................................................121
第 5 章紅隊視角:典型攻擊技術的復現........................................... 123
5.1 基於本地賬戶的初始訪問 ........................................................................124
5.2 基於 WMI 執行攻擊技術 .........................................................................125
5.3 基於瀏覽器外掛程式實現持久化.................................................................... 126
5.4 基於進程注入實現提權 ............................................................................128
5.5 基於 Rootkit 實現防禦繞過...................................................................... 129
5.6 基於暴力破解獲得憑證訪問許可權 ............................................................ 130
5.7 基於作業系統程式發現系統服務 ............................................................ 132
5.8 基於 SMB 實現橫向移動.......................................................................... 133
5.9 自動化收集區域網路數據 ................................................................................135
5.10 通過命令與控制通道傳遞攻擊載荷 ...................................................... 136
5.11 成功竊取數據..........................................................................................137
5.12 通過停止服務造成危害.......................................................................... 138
第 6 章藍隊視角:攻擊技術的檢測示例 ...........................................139
6.1 執行:T1059 命令和腳本解釋器的檢測................................................. 140
6.2 持久化:T1543.003 創建或修改系統進程(Windows服務)的檢測 .. 141
6.3 許可權提升:T1546.015 組件對象模型劫持的檢測.................................. 143
6.4 防禦繞過:T1055.001 DLL 注入的檢測................................................. 144
6.5 憑證訪問:T1552.002 註冊表中的憑證的檢測...................................... 146
6.6 發現:T1069.002 域用戶組的檢測.......................................................... 147
6.7 橫向移動:T1550.002 哈希傳遞攻擊的檢測 ..........................................148
6.8 收集:T1560.001 通過程式壓縮的檢測.................................................. 149
第 7 章不同形式的攻擊模擬.......................................................... 150
7.1 基於紅藍對抗的全流程攻擊模擬 ............................................................ 151
7.1.1 模擬攻擊背景................................................................................152
7.1.2 模擬攻擊流程................................................................................153
7.2 微模擬攻擊的概述與套用 ........................................................................162
7.2.1 微模擬攻擊計畫概述.................................................................... 163
7.2.2 微模擬攻擊的套用........................................................................ 164
第三部分 ATT&CK 場景與工具篇
第 8 章 ATT&CK 套用工具與套用項目........................................... 176
8.1 ATT&CK 四個關鍵項目工具 ...................................................................177
8.1.1 Navigator 項目 ...............................................................................177
8.1.2 CARET 項目..................................................................................180
8.1.3 TRAM 項目...................................................................................181
8.1.4 Workbench 項目 .............................................................................182
8.2 ATT&CK 實踐套用項目........................................................................... 186
8.2.1 紅隊使用項目................................................................................186
8.2.2 藍隊使用項目 ................................................................................188
8.2.3 CTI 團隊使用................................................................................190
8.2.4 CSO 使用項目 ...............................................................................195
第 9 章 ATT&CK 四大實踐場景.................................................... 197
9.1 ATT&CK 的四大使用場景 .......................................................................200
9.1.1 威脅情報 ........................................................................................200
9.1.2 檢測分析........................................................................................203
9.1.3 模擬攻擊 ........................................................................................205
9.1.4 評估改進........................................................................................208
9.2 ATT&CK 實踐的常見誤區 .......................................................................213
第四部分 ATT&CK 運營實戰篇
第 10 章數據源是套用 ATT&CK 的前提 ......................................... 218
10.1 當前 ATT&CK 數據源急需解決的問題................................................ 219
10.1.1 定義數據源 ..................................................................................220
10.1.2 標準化命名語法 ..........................................................................220
10.1.3 確保平台一致性.......................................................................... 222
10.2 改善 ATT&CK 數據源的使用情況........................................................ 224
10.2.1 利用數據建模..............................................................................225
10.2.2 通過數據元素定義數據源 .......................................................... 226
10.2.3 整合數據建模和攻擊者建模 ...................................................... 226
10.2.4 擴展 ATT&CK 數據源對象........................................................ 227
10.2.5 使用數據組件擴展數據源 .......................................................... 228
10.3 ATT&CK 數據源的標準化定義與運用示例 ......................................... 230
10.3.1 改進進程監控 ..............................................................................231
10.3.2 改進 Windows 事件日誌............................................................. 236
10.3.3 子技術用例 ..................................................................................239
10.4 數據源在安全運營中的運用 ..................................................................241
第 11 章 MITRE ATT&CK 映射實踐..............................................244
11.1 將事件報告映射到 MITRE ATT&CK ....................................................245
11.2 將原始數據映射到 MITRE ATT&CK.................................................... 249
11.3 映射到 MITRE ATT&CK 時的常見錯誤與偏差................................... 251
11.4 通過 MITRE ATT&CK 編寫事件報告................................................... 254
11.5 ATT&CK for ICS 的映射建議 ................................................................257
第 12 章基於 ATT&CK 的安全運營 ............................................... 260
12.1 基於 ATT&CK 的運營流程.................................................................... 262
12.1.1 知己:分析現有數據源缺口 ...................................................... 262
12.1.2 知彼:收集網路威脅情報 .......................................................... 263
12.1.3 實踐:分析測試.......................................................................... 264
12.2 基於 ATT&CK 的運營評估.................................................................... 267
12.2.1 將 ATT&CK 套用於 SOC 的步驟 .............................................. 267
12.2.2 將 ATT&CK 套用於 SOC 的技巧 .............................................. 271
第 13 章基於 ATT&CK 的威脅狩獵 ............................................... 274
13.1 ATT&CK 讓狩獵過程透明化 .................................................................277
13.2 基於 TTPs 的威脅狩獵........................................................................... 280
13.2.1 檢測方法和數據類型分析 .......................................................... 281
13.2.2 威脅狩獵的方法實踐 ..................................................................283
13.3 基於重點戰術的威脅狩獵 ......................................................................302
13.3.1 內部偵察的威脅狩獵 ..................................................................303
13.3.2 持久化的威脅狩獵 ......................................................................305
13.3.3 橫向移動的威脅狩獵 ..................................................................311
第 14 章多行業的威脅狩獵實戰..................................................... 316
14.1 金融行業的威脅狩獵 ..............................................................................317
14.2 企業機構的威脅狩獵 ..............................................................................324
第五部分 ATT&CK 生態篇
第 15 章攻擊行為序列數據模型 Attack Flow.................................. 332
15.1 Attack Flow 的組成要素 .........................................................................333
15.2 Attack Flow 用例 .....................................................................................333
15.3 Attack Flow 的使用方法 .........................................................................335
第 16 章主動作戰框架 MITRE Engage......................................... 341
16.1 MITRE Engage 介紹................................................................................342
16.1.1 詳解 MITRE Engage 矩陣結構................................................... 342
16.1.2 MITRE Engage 與 MITRE ATT&CK 的映射關係..................... 344
16.1.3 Engage 與傳統網路阻斷、網路欺騙間的關係 ......................... 344
16.2 MITRE Engage 矩陣入門實踐 ................................................................346
16.2.1 如何將 Engage 矩陣整合到企業網路戰略中來........................ 346
16.2.2 Engage 實踐的四要素 .................................................................346
16.2.3 Engage 實踐落地流程:收集、分析、確認、實施 ................. 347
16.2.4 對抗作戰實施:10 步流程法..................................................... 348
第 17 章 ATT&CK 測評............................................................... 352
17.1 測評方法..................................................................................................353
17.2 測評流程..................................................................................................355
17.3 測評內容 ..................................................................................................357
17.3.1 ATT&CK for Enterprise 測評 ...................................................... 358
17.3.2 ATT&CK for ICS 測評 ................................................................361
17.3.3 託管服務測評 ..............................................................................364
17.3.4 欺騙類測評..................................................................................367
17.4 測評結果 ..................................................................................................369
17.5 總結 ..........................................................................................................372
附錄 A ATT&CK 戰術及場景實踐 .................................................. 374
附錄 B ATT&CK 版本更新情況 ..................................................... 395
