|
|
|
本書由淺入深,從原理到實踐,從攻到防,循序漸進地介紹了備受資訊安全行業青睞的ATT&CK框架,旨在幫助相關企業更好地將ATT&CK框架用於安全防禦能力建設。
全書分為5部分,共17章,詳細介紹了ATT&CK框架的整體架構,如何利用 ATT&CK框架檢測一些常見的攻擊組織、惡意軟體和高頻攻擊技術,以及ATT&CK在實踐中的落地應用,最後介紹了MITRE ATT&CK 相關的生態專案,包括 MITRE Engage以及ATT&CK測評。
本書適合網路安全從業人員(包括 CISO、CSO、藍隊人員、紅隊人員等)、網路安全研究人員等閱讀,也可供網路空間安全、資訊安全等專業教學、科研、應用人員參考。
張福,青藤雲安全聯合創始人&CEO,畢業於同濟大學,專注於前沿技術研究,在安全攻防領域有超過15年的探索和實踐,曾先後在國內多家知名互聯網企業,如第九城市、盛大網路、昆侖萬維,擔任技術和業務安全負責人。目前,張福擁有10余項自主智慧財產權發明專利、30余項軟體著作權,曾榮獲“改革開放40年網路安全領軍人物”“ 中關村高端領軍人才”“中關村創業之星”等稱號。
程度,青藤雲安全聯合創始人&COO,畢業於首都師範大學,擅長網路攻防安全技術研究和大資料演算法研究,在雲計算安全、機器學習領域有很高的學術造詣,參與多項雲安全標準制定和標準審核工作,現兼任《資訊安全研究》《資訊網路安全》編委,曾發表多篇論文,並被國內核心期刊收錄,曾獲“OSCAR尖峰開源技術傑出貢獻獎”。
胡俊,青藤雲安全聯合創始人&產品副總裁,畢業于華中科技大學,中國資訊通信研究院可信雲專家組成員,入選武漢東湖高新技術開發區第十一批“3551光谷人才計畫",曾在百納資訊主導了多款工具應用、海豚流覽器雲服務的開發。青藤雲安全創立後,主導開發“青藤萬相·主機自我調整安全平臺”“ 青藤蜂巢·雲原生安全平臺”等產品,獲得發明專利10余項,是國家級安全產品專家,曾發表多篇論文,並被中文核心期刊收錄。
第一部分 ATT&CK 入門篇
第 1 章 潛心開始 MITRE ATT&CK 之旅 ............................................ 2
1.1 MITRE ATT&CK 是什麼 .............................................................................. 3
1.1.1 MITRE ATT&CK 框架概述 .............................................................. 4
1.1.2 ATT&CK 框架背後的安全哲學 ....................................................... 9
1.1.3 ATT&CK 框架與 Kill Chain 模型的對比 ...................................... 11
1.1.4 ATT&CK 框架與痛苦金字塔模型的關係 ..................................... 13
1.2 ATT&CK 框架七大對象 ............................................................................. 13
1.3 ATT&CK 框架實例說明 ............................................................................. 21
1.3.1 ATT&CK 戰術實例 ......................................................................... 21
1.3.2 ATT&CK 技術實例 ......................................................................... 34
1.3.3 ATT&CK 子技術實例 ..................................................................... 37
第 2 章 基於 ATT&CK 框架的擴展知識庫 .......................................... 41
2.1 針對容器的 ATT&CK 攻防知識庫 ............................................................ 42
2.1.1 執行命令列或進程 .......................................................................... 43
2.1.2 植入惡意鏡像實現持久化 .............................................................. 44
2.1.3 通過容器逃逸實現許可權提升 .......................................................... 44
2.1.4 繞過或禁用防禦機制 ...................................................................... 44
2.1.5 基於容器 API 獲取許可權訪問 .......................................................... 45
2.1.6 容器資源發現 .................................................................................. 45
2.2 針對 Kubernetes 的攻防知識庫 .................................................................. 46
2.2.1 通過漏洞實現對 Kubernetes 的初始訪問 ...................................... 47
2.2.2 執行惡意程式碼 .................................................................................. 48
2.2.3 持久化存取權限 .............................................................................. 48
2.2.4 獲取更高存取權限 .......................................................................... 49
2.2.5 隱藏蹤跡繞過檢測 .......................................................................... 50
2.2.6 獲取各類憑證 .................................................................................. 51
2.2.7 發現環境中的有用資源 .................................................................. 52
2.2.8 在環境中橫向移動 .......................................................................... 53
2.2.9 給容器化環境造成危害 .................................................................. 54
2.3 針對內部威脅的 TTPs 攻防知識庫 ............................................................ 55
2.3.1 內部威脅 TTPs 知識庫的研究範圍 ............................................... 56
2.3.2 與 ATT&CK 矩陣的關係 ................................................................ 57
2.3.3 內部威脅者常用策略 ...................................................................... 58
2.3.4 針對內部威脅的防禦措施 .............................................................. 60
2.4 針對網路安全對策的知識圖譜 MITRE D3FEND ..................................... 60
2.4.1 建立 D3FEND 的原因 ..................................................................... 61
2.4.2 構建 MITRE D3FEND 的方法論 ................................................... 61
2.5 針對軟體供應鏈的 ATT&CK 框架 OSC&R .............................................. 67
第二部分 ATT&CK 提高篇
第 3 章 十大攻擊組織/惡意軟體的分析與檢測 ...................................... 72
3.1 TA551 攻擊行為的分析與檢測 .................................................................. 73
3.2 漏洞利用工具 Cobalt Strike 的分析與檢測 ............................................... 75
3.3 銀行木馬 Qbot 的分析與檢測 .................................................................... 77
3.4 銀行木馬 lcedlD 的分析與檢測 .................................................................. 78
3.5 憑證轉儲工具 Mimikatz 的分析與檢測 ..................................................... 80
3.6 惡意軟體 Shlayer 的分析與檢測 ................................................................ 82
3.7 銀行木馬 Dridex 的分析與檢測 ................................................................. 83
3.8 銀行木馬 Emotet 的分析與檢測 ................................................................. 85
3.9 銀行木馬 TrickBot 的分析與檢測 .............................................................. 86
3.10 蠕蟲病毒 Gamarue 的分析與檢測 ............................................................ 87
第 4 章 十大高頻攻擊技術的分析與檢測 ............................................. 89
4.1 命令和腳本解析器(T1059)的分析與檢測 ............................................ 90
4.1.1 PowerShell(T1059.001)的分析與檢測 ...................................... 90
4.1.2 Windows Cmd Shell(T1059.003)的分析與檢測 ........................ 92
4.2 利用已簽名二進位檔案代理執行(T1218)的分析與檢測 .................... 94
4.2.1 Rundll32(T1218.011)的分析與檢測 .......................................... 94
4.2.2 Mshta(T1218.005)的分析與檢測 ............................................... 98
4.3 創建或修改系統進程(T1543)的分析與檢測 ...................................... 102
4.4 計畫任務/作業(T1053)的分析與檢測 ................................................. 105
4.5 OS 憑證轉儲(T1003)的分析與檢測 .................................................... 108
4.6 進程注入(T1055)的分析與檢測 .......................................................... 111
4.7 混淆檔或資訊(T1027)的分析與檢測 .............................................. 114
4.8 入口工具轉移(T1105)的分析與檢測 .................................................. 117
4.9 系統服務(T1569)的分析與檢測 .......................................................... 119
4.10 偽裝(T1036)的分析與檢測 ................................................................ 121
第 5 章 紅隊視角:典型攻擊技術的複現 ........................................... 123
5.1 基於本地帳戶的初始訪問 ........................................................................ 124
5.2 基於 WMI 執行攻擊技術 ......................................................................... 125
5.3 基於流覽器外掛程式實現持久化 .................................................................... 126
5.4 基於進程注入實現提權 ............................................................................ 128
5.5 基於 Rootkit 實現防禦繞過 ...................................................................... 129
5.6 基於暴力破解獲得憑證存取權限 ............................................................ 130
5.7 基於作業系統程式發現系統服務 ............................................................ 132
5.8 基於 SMB 實現橫向移動 .......................................................................... 133
5.9 自動化收集內網資料 ................................................................................ 135
5.10 通過命令與控制通道傳遞攻擊載荷 ...................................................... 136
5.11 成功竊取資料 .......................................................................................... 137
5.12 通過停止服務造成危害 .......................................................................... 138
第 6 章 藍隊視角:攻擊技術的檢測示例 ........................................... 139
6.1 執行:T1059 命令和腳本解譯器的檢測 ................................................. 140
6.2 持久化:T1543.003 創建或修改系統
