ATT&CK框架實踐指南

詳細介紹了ATT&CK框架的整體架構，如何利用ATT&CK框架檢測一些常見的攻擊組織、惡意軟體和高頻攻擊技術，以及ATT&CK在實踐中的落地套用，最後介紹了MITRE ATT&CK相關的生態項目，包括MITRE Shield以及ATT&CK測評。

第一部分 ATT&CK入門篇

第1章 潛心開始MITRE ATT&CK之旅 2

1.1 MITRE ATT&CK是什麼 3

1.1.1 MITRE ATT&CK框架概述 4

1.1.2 ATT&CK框架背後的安全哲學 9

1.1.3 ATT&CK框架與Kill Chain模型的對比 11

1.1.4 ATT&CK框架與痛苦金字塔模型的關係 13

1.2 ATT&CK框架的對象關係介紹 14

1.3 ATT&CK框架實例說明 18

1.3.1 ATT&CK戰術實例 18

1.3.2 ATT&CK技術實例 31

1.3.3 ATT&CK子技術實例 34

第2章 新場景示例：針對容器和Kubernetes的ATT&CK攻防矩陣 38

2.1 針對容器的ATT&CK攻防矩陣 39

2.1.1 執行命令行或進程 40

2.1.2 植入惡意鏡像實現持久化 41

2.1.3 通過容器逃逸實現許可權提升 41

2.1.4 繞過或禁用防禦機制 41

2.1.5 基於容器API獲取許可權訪問 42

2.1.6 容器資源發現 42

2.2 針對Kubernetes的攻防矩陣 42

2.2.1 通過漏洞實現對Kubernetes的初始訪問 43

2.2.2 惡意代碼執行 44

2.2.3 持久化訪問許可權 45

2.2.4 獲取更高訪問許可權 46

2.2.5 隱藏蹤跡繞過檢測 47

2.2.6 獲取各類憑證 48

2.2.7 發現環境中的有用資源 49

2.2.8 在環境中橫向移動 50

2.2.9 給容器化環境造成危害 51

第3章 數據源：ATT&CK套用實踐的前提 52

3.1 當前ATT&CK數據源利用急需解決的問題 53

3.1.1 制定數據源定義 54

3.1.2 標準化命名語法 54

3.1.3 確保平台一致性 57

3.2 升級ATT&CK數據源的使用情況 59

3.2.1 利用數據建模 59

3.2.2 通過數據元素定義數據源 61

3.2.3 整合數據建模和攻擊者建模 62

3.2.4 將數據源作為對象集成到ATT&CK框架中 62

3.2.5 擴展ATT&CK數據源對象 63

3.2.6 使用數據組件擴展數據源 64

3.3 ATT&CK數據源的運用示例 65

3.3.1 改進進程監控 65

3.3.2 改進Windows事件日誌 70

3.3.3 子技術用例 73

第二部分 ATT&CK提高篇

第4章 十大攻擊組織和惡意軟體的分析與檢測 78

4.1 TA551攻擊行為的分析與檢測 79

4.2 漏洞利用工具Cobalt Strike的分析與檢測 81

4.3 銀行木馬Qbot的分析與檢測 83

4.4 銀行木馬lcedlD的分析與檢測 84

4.5 憑證轉儲工具Mimikatz的分析與檢測 86

4.6 惡意軟體Shlayer的分析與檢測 88

4.7 銀行木馬Dridex的分析與檢測 89

4.8 銀行木馬Emotet的分析與檢測 91

4.9 銀行木馬TrickBot的分析與檢測 92

4.10 蠕蟲病毒Gamarue的分析與檢測 93

第5章 十大高頻攻擊技術的分析與檢測 95

5.1 命令和腳本解析器（T1059）的分析與檢測 96

5.1.1 PowerShell（T1059.001）的分析與檢測 96

5.1.2 Windows Cmd Shell（T1059.003）的分析與檢測 98

5.2 利用已簽名二進制檔案代理執行（T1218）的分析與檢測 100

5.2.1 Rundll32（T1218.011）的分析與檢測 100

5.2.2 Mshta（T1218.005）的分析與檢測 104

5.3 創建或修改系統進程（T1543）的分析與檢測 108

5.4 計畫任務/作業（T1053）的分析與檢測 111

5.5 OS憑證轉儲（T1003）的分析與檢測 114

5.6 進程注入（T1055）的分析與檢測 117

5.7 混淆檔案或信息（T1027）的分析與檢測 120

5.8 入口工具轉移（T1105）的分析與檢測 122

5.9 系統服務（T1569）的分析與檢測 124

5.10 偽裝（T1036）的分析與檢測 126

第6章 紅隊視角：典型攻擊技術的復現 129

6.1 基於本地賬戶的初始訪問 130

6.2 基於WMI執行攻擊技術 131

6.3 基於瀏覽器外掛程式實現持久化 132

6.4 基於進程注入實現提權 134

6.5 基於Rootkit實現防禦繞過 135

6.6 基於暴力破解獲得憑證訪問許可權 136

6.7 基於作業系統程式發現系統服務 138

6.8 基於SMB實現橫向移動 139

6.9 自動化收集區域網路數據 141

6.10 通過命令與控制通道傳遞攻擊載荷 142

6.11 成功竊取數據 143

6.12 通過停止服務造成危害 144

第7章 藍隊視角：攻擊技術的檢測示例 145

7.1 執行：T1059命令和腳本解釋器的檢測 146

7.2 持久化：T1543.003創建或修改系統進程（Windows服務）的檢測 147

7.3 許可權提升：T1546.015組件對象模型劫持的檢測 149

7.4 防禦繞過：T1055.001 DLL注入的檢測 150

7.5 憑證訪問：T1552.002註冊表中的憑證的檢測 152

7.6 發現：T1069.002域用戶組的檢測 153

7.7 橫向移動：T1550.002哈希傳遞攻擊的檢測 154

7.8 收集：T1560.001通過程式壓縮的檢測 155

第三部分 ATT&CK實踐篇

第8章 ATT&CK套用工具與項目 158

8.1 ATT&CK三個關鍵工具 159

8.1.1 ATT&CK Navigator項目 159

8.1.2 ATT&CK的CARET項目 161

8.1.3 TRAM項目 162

8.2 ATT&CK實踐套用項目 164

8.2.1 紅隊使用項目 164

8.2.2 藍隊使用項目 167

8.2.3 CTI團隊使用 169

8.2.4 CSO使用項目 173

第9章 ATT&CK場景實踐 175

9.1 ATT&CK的四大使用場景 178

9.1.1 威脅情報 178

9.1.2 檢測分析 181

9.1.3 模擬攻擊 183

9.1.4 評估改進 186

9.2 ATT&CK實踐的常見誤區 190

第10章 基於ATT&CK的安全運營 193

10.1 基於ATT&CK的運營流程 195

10.1.1 知彼：收集網路威脅情報 195

10.1.2 知己：分析現有數據源缺口 196

10.1.3 實踐：分析測試 197

10.2 基於ATT&CK的運營實踐 200

10.2.1 將ATT&CK套用於SOC的步驟 200

10.2.2 將ATT&CK套用於SOC的技巧 204

10.3 基於ATT&CK的模擬攻擊 206

10.3.1 模擬攻擊背景 206

10.3.2 模擬攻擊流程 207

第11章 基於ATT&CK的威脅狩獵 218

11.1 威脅狩獵的開源項目 219

11.1.1 Splunk App Threat Hunting 220

11.1.2 HELK 222

11.2 ATT&CK與威脅狩獵 224

11.2.1 3個未知的問題 224

11.2.2 基於TTP的威脅狩獵 226

11.2.3 ATT&CK讓狩獵過程透明化 228

11.3 威脅狩獵的行業實戰 231

11.3.1 金融行業的威脅狩獵 231

11.3.2 企業機構的威脅狩獵 239

第四部分 ATT&CK生態篇

第12章 MITRE Shield主動防禦框架 246

12.1 MITRE Shield背景介紹 247

12.2 MITRE Shield矩陣模型 249

12.2.1 主動防禦戰術 250

12.2.2 主動防禦技術 252

12.3 MITRE Shield與ATT&CK的映射 253

12.4 MITRE Shield使用入門 254

12.4.1 Level 1示例 255

12.4.2 Level 2示例 257

12.4.3 Level 3示例 258

第13章 ATT&CK測評 259

13.1 測評方法 260

13.2 測評流程 262

13.3 測評內容 264

13.4 測評結果 266

附錄A ATT&CK戰術及場景實踐 271

附錄B ATT&CK攻擊與SHIELD防禦映射圖 292

張福

張福，青藤雲安全創始人、CEO。畢業於同濟大學，專注於前沿技術研究，在安全攻防領域有超過 15 年的探索和實踐。曾先後在國內多家知名網際網路企業，如第九城市、盛大網路、崑崙萬維，擔任技術和業務安全負責人。張福擁有 10 餘項自主智慧財產權發明專利，30 餘項軟體著作權。榮獲“改革開放 40 年網路安全領軍人物”、“中關村高端領軍人才”、“中關村創業之星”等稱號。

程度

程度，青藤雲安全聯合創始人、COO。畢業於首都師範大學，擅長網路攻防安全技術研究和大數據算法研究，擁有軟著 18 項、專利 15 項，對雲計算安全、機器學習領域有極高學術造詣，對全球安全市場有深刻理解。現兼任工信部信通院、全國信息安全標準化技術委員會外聘專家，《信息安全研究》、《信息網路安全》編委。參與多項雲安全標準制定、標準審核工作，發表過多篇論文被國核心心期刊收錄，榮獲“OSCAR 尖峰開源技術傑出貢獻獎”。

胡俊

胡俊，青藤雲安全聯合創始人、產品副總裁。畢業於華中科技大學，中國信息通信研究院可信雲專家組成員，武漢東湖技術開發區第十一批“3551 光穀人才計畫”。曾在百納信息主導了多款工具套用、海豚瀏覽器雲服務的開發。青藤創立後，主導開發“青藤萬相·主機自適應安全平台”、“青藤蜂巢·雲原生安全平台”等產品，獲得發明專利10餘項，是國內頂尖的安全產品專家，曾發表多篇論文並被中文核心期刊收錄。