ATT&CK與威脅獵殺實戰

本書主要介紹ATT&CK框架與威脅獵殺。第1部分為基礎知識，幫助讀者了解如何收集數據以及如何通過開發數據模型來理解數據，以及一些基本的網路和作業系統概念，並介紹一些主要的TH數據源。第2部分介紹如何使用開源工具構建實驗室環境，以及如何通過實際例子計畫獵殺。結尾討論如何評估數據質量，記錄、定義和選擇跟蹤指標等方面的內容。

譯者序

前言

作者簡介

審校者簡介

第一部分　網路威脅情報

第1章　什麼是網路威脅情報 2

1.1　網路威脅情報概述 2

1.1.1　戰略情報 3

1.1.2　運營情報 3

1.1.3　戰術情報 4

1.2　情報周期 5

1.2.1　計畫與確定目標 7

1.2.2　準備與收集 7

1.2.3　處理與利用 7

1.2.4　分析與生產 7

1.2.5　傳播與融合 7

1.2.6　評價與反饋 7

1.3　定義情報需求 8

1.4　收集過程 9

1.4.1　危害指標 10

1.4.2　了解惡意軟體 10

1.4.3　使用公共資源進行收集：OSINT 11

1.4.4　蜜罐 11

1.4.5　惡意軟體分析和沙箱 12

1.5　處理與利用 12

1.5.1　網路殺傷鏈 12

1.5.2　鑽石模型 14

1.5.3　MITRE ATT&CK框架 14

1.6　偏見與分析 16

1.7　小結 16

第2章　什麼是威脅獵殺 17

2.1　技術要求 17

2.2　威脅獵殺的定義 17

2.2.1　威脅獵殺類型 18

2.2.2　威脅獵人技能 19

2.2.3　痛苦金字塔 20

2.3　威脅獵殺成熟度模型 21

2.4　威脅獵殺過程 22

2.4.1　威脅獵殺循環 22

2.4.2　威脅獵殺模型 23

2.4.3　數據驅動的方法 23

2.4.4　集成威脅情報的定向獵殺 25

2.5　構建假設 28

2.6　小結 29

第3章　數據來源 30

3.1　技術要求 30

3.2　了解已收集的數據 30

3.2.1　作業系統基礎 30

3.2.2　網路基礎 33

3.3　Windows本機工具 42

3.3.1　Windows Event Viewer 42

3.3.2　WMI 45

3.3.3　ETW 46

3.4　數據源 47

3.4.1　終端數據 48

3.4.2　網路數據 51

3.4.3　安全數據 57

3.5　小結 61

第二部分　理解對手

第4章　映射對手 64

4.1　技術要求 64

4.2　ATT&CK框架 64

4.2.1　戰術、技術、子技術和程式 65

4.2.2　ATT&CK矩陣 66

4.2.3　ATT&CK Navigator 68

4.3　利用ATT&CK進行映射 70

4.4　自我測試 73

4.5　小結 77

第5章　使用數據 78

5.1　技術要求 78

5.2　使用數據字典 78

5.3　使用MITRE CAR 82

5.4　使用Sigma規則 85

5.5　小結 88

第6章　對手仿真 89

6.1　創建對手仿真計畫 89

6.1.1　對手仿真的含義 89

6.1.2　MITRE ATT&CK仿真計畫 90

6.2?仿真威脅 91

6.2.1　Atomic Red Team 91

6.2.2　Mordor 93

6.2.3　CALDERA 94

6.2.4　其他工具 94

6.3　自我測試 95

6.4　小結 97

第三部分　研究環境套用

第7章　創建研究環境 100

7.1　技術要求 100

7.2　設定研究環境 101

7.3　安裝VMware ESXI 102

7.3.1　創建虛擬區域網路 102

7.3.2　配置防火牆 104

7.4　安裝Windows伺服器 108

7.5　將Windows伺服器配置為域控制器 112

7.5.1　了解活動目錄結構 115

7.5.2　使伺服器成為域控制器 117

7.5.3　配置DHCP伺服器 118

7.5.4　創建組織單元 122

7.5.5　創建用戶 123

7.5.6　創建組 125

7.5.7　組策略對象 128

7.5.8　設定審核策略 131

7.5.9　添加新的客戶端 136

7.6　設定ELK 139

7.6.1　配置Sysmon 143

7.6.2　獲取證書 145

7.7　配置Winlogbeat 146

7.8　額外好處：將Mordor數據集添加到ELK實例 150

7.9　HELK：Roberto Rodriguez的開源工具 150

7.10　小結 153

第8章　查詢數據 154

8.1　技術要求 154

8.2　基於Atomic Red Team的原子搜尋 154

8.3　 Atomic Red Team測試周期 155

8.3.1　初始訪問測試 156

8.3.2　執行測試 163

8.3.3　持久化測試 165

8.3.4　許可權提升測試 167

8.3.5　防禦規避測試 169

8.3.6　發現測試 170

8.3.7　命令與控制測試 171

8.3.8　Invoke-AtomicRedTeam 172

8.4　Quasar RAT 172

8.4.1　Quasar RAT現實案例 173

8.4.2　執行和檢測Quasar RAT 174

8.4.3　持久化測試 178

8.4.4　憑據訪問測試 180

8.4.5　橫向移動測試 181

8.5　小結 182

第9章　獵殺對手 183

9.1　技術要求 183

9.2　MITRE評估 183

9.2.1　將APT29數據集導入HELK 184

9.2.2　獵殺APT29 185

9.3　使用MITRE CALDERA 205

9.3.1　設定CALDERA 205

9.3.2　使用CALDERA執行仿真計畫 209

9.4　Sigma規則 218

9.5　小結 221

第10章　記錄和自動化流程的重要性 222

10.1　文檔的重要性 222

10.1.1　寫好文檔的關鍵 222

10.1.2　記錄獵殺行動 224

10.2　Threat Hunter Playbook 226

10.3　Jupyter Notebook 228

10.4　更新獵殺過程 228

10.5　自動化的重要性 228

10.6　小結 230

第四部分　交流成功經驗

第11章　評估數據質量 232

11.1　技術要求 232

11.2　區分優劣數據 232

11.3　提高數據質量 234

11.3.1　OSSEM Power-up 236

11.3.2　DeTT&CT 237

11.3.3　Sysmon-Modular 238

11.4　小結 239

第12章　理解輸出 240

12.1　理解獵殺結果 240

12.2　選擇好的分析方法的重要性 243

12.3　自我測試 243

12.4　小結 245

第13章　定義跟蹤指標 246

13.1　技術要求 246

13.2　定義良好指標的重要性 246

13.3　如何確定獵殺計畫成功 248

13.4　小結 250

第14章　讓回響團隊參與並做好溝通 253

14.1　讓事件回響團隊參與進來 253

14.2　溝通對威脅獵殺計畫成功與否的影響 255

14.3　自我測試 258

14.4　小結 259

附錄　獵殺現狀 260