本书由浅入深，从原理到实践，从攻到防，循序渐进地介绍了备受信息安全行业青睐的ATT＆CK 框架，旨在帮助相关企业更好地将 ATT＆CK 框架用于安全防御能力建设。全书分为5 部分，共 17 章，详细介绍了 ATT＆CK 框架的整体架构，如何利用 ATT＆CK 框架检测一些常见的攻击组织、恶意软件和高频攻击技术，以及 ATT＆CK 在实践中的落地应用，最后介绍了MITRE ATT＆CK 相关的生态项目，包括 MITRE Engage 以及 ATT＆CK 测评。本书适合网络安全从业人员（包括 CISO、CSO、蓝队人员、红队人员等）、网络安全研究人员等阅读，也可供网络空间安全、信息安全等专业教学、科研、应用人员参考。

推荐序 自有互联网以来，网络安全问题相伴而生，随着互联网渗透到经济社会的方方面面，网络安全问题也愈演愈烈，危害也越来越大。网络安全问题从个别网络精英炫耀个人能力的恶作剧到具有明显目的的有组织犯罪，甚至成为有政府背景的网络战的一种形式。 网络安全问题的内因是网络设备的后门和网络软件的漏洞以及人为操作失误，外因是遭遇外部入侵或感染病毒，受影响的程度取决于网络安全防御能力，或者说是网络安全对抗的战术和技术水平，即网络攻防实力较量的结果。攻防两 方面总是动态博弈，攻防的格局不断迭代演进，表现出一些特点：首先是攻防的不对称性，防在明处而攻在暗处，导致攻易防难，网络安全处于被动应对状态；其次是攻防格局的不确定性，网络业务是动态变化的，网络拓扑也会调整升级，加上攻击手段不断翻新，总是未知多于已知；最后，防御效果的不可信性，网络或业务的所有方对所采取的网络安全措施的效果缺乏把握，对系统安全心中无底，甚至不知道从哪些方面做改进，不知道该从何下手来加固网络安全。 习近平总书记 2016 年 4 月 19 日在网络安全和信息化工作座谈会上的讲话中指出：“网络安全具有很强的隐蔽性，一个技术漏洞、安全风险可能隐藏几年都发现不了，结果是‘谁进来了不知道、是敌是友不知道、干了什么不知道’，长期‘潜伏’在里面，一旦有事就发作了。” “维护网络安全，首先要知道风险在哪里，是什么样的风险，什么时候发生风险，正所谓‘聪者听于无声，明者见于未形’。感知网络安全态势是最基本最基础的工作。” 要感知网络风险得从内部和外部两方面并举，内部要摸清家底找出漏洞并强化管理，外部要把握网络入侵的规律、动向与趋势。尽管攻击手法出奇、靶点众多，但网络攻击的目的不外乎通过劫持网络或数据的控制权，致瘫网络和窃取数据等获取政治和经济利益。总体上看，网络入侵还是有一定套路可循的，需要利用大数据分析从大量网络入侵案例中来总结。 ATT＆CK（对抗战术与技术知识库）从网络入侵者的角度归纳网络入侵、攻击的方法与步骤。开发 ATT＆CK 的目的不是为黑客提供教程，而是知己知彼百战不殆，通过梳理实现对网络入侵足迹的留痕，给网络安全防御以清晰的维度和明确的思路。尽管 ATT＆CK 不可能准确预测新的网络入侵的目标与路径，但可以显著收窄需要重点关注的范围，大大降低了网络安全防御措施的盲目性。 《ATT＆CK 框架实践指南》的作者团队长期研究 MITRE 的 ATT＆CK 技术，通过丰富的实践加深了对 ATT＆CK 框架的理解，积累了有实战价值的经验体会。本书介绍了 ATT＆CK 在威胁情报、检测分析、模拟攻击、评估改进等方面的工具与应用，给出了有效的关于防御措施的建议。网络攻防总是“魔高一尺，道高一丈”，在博弈中升级，ATT＆CK 来源于实践案例的总结，也会随时间而不断丰富、更新。期待本书能起到抛砖引玉的作用，在全球 ATT＆CK 中贡献中国智慧，更重要的是善于运用 ATT＆CK 的方法来提升我国网络安全防御能力。 中国工程院院士 邬贺铨 2023-04-12 推荐语 随着互联网安全形势日益严峻，网络安全已上升为国家战略，其重要性也日益提升。对此，网络安全从业者承担的责任和压力与日俱增，不仅要脚踏实地确保现有网络系统的正常运行，更要关注前沿技术的研究与创新，应对未来可能的网络安全风险。本书是国内首度聚焦 ATT＆CK 框架的读物，希望它能对网络安全从业者进一步了解、认识、使用 ATT＆CK 框架提供帮助。 李新友 国家信息中心首席工程师 《信息安全研究》社长 ATT＆CK 框架来源于实战，是安全从业者在长期攻防对抗、攻击溯源、攻击手法分析的过程中，提炼总结形成的实用性强、可落地、说得清、道得明的体系框架。ATT＆CK 提供了一套多个组织机构和企业迫切需要的共识标准、共享情报、同语境沟通、操作性强等安全防御的方法论和实战场景。同时，它的出现也给了安全从业者一把尺子，可以用统一的标准去衡量网络经营主体的防御效果和发现威胁的能力，这种实用性防御方法和体系框架非常值得网络安全业内的专业人士深入研究与实践。本书作为青藤云安全多年的研究成果，由浅入深地对 ATT＆CK技术和框架进行了介绍，从入门篇到提高篇，从实战篇到生态篇，结合附录的战术及场景实践，内容涉及攻击事件复现、利用 ATT＆CK 框架提升企业安全防护手段等技术，非常值得安全从业者深入研读。特此推荐。 李京春 国家信息技术安全研究中心原总工程师 中国网络安全审查技术与认证中心首席专家 中央网信办党政云审查专家组副组长 全国信息安全标准化技术委员会（TC260）安全评估组组长 ATT＆CK 框架作为攻击视角下的战术与技术知识库，不仅能有效帮助企业开发、组织和使用基于威胁信息的防御策略，还为企业评估网络防御能力差距提供了一个非常有用的工具。青藤云安全凭借多年的 ATT＆CK 研究与实践，围绕多个维度编制本书，为我国网络安全从业人员更加深入了解、引用 ATT＆CK 框架提供了一把“钥匙”。 顾健 公安部第三研究所研究员/一级警监 国家网络与信息系统安全产品检验检测中心副主任 ATT＆CK 既是网络安全攻防对抗的战术和技术知识库，也可以是分析一系列攻击行为、组织属性的技术基础，还可以是评估一个组织能力态势的框架基础，是近年来发展最快、热度最高的网络安全对抗技术框架。青藤云安全公司作为网络安全领域技术创新领军企业的代表，很早就开始研究 ATT＆CK 技术，此次出版的《ATT＆CK 框架实践指南》对于 ATT＆CK 初学者入门，或有一定基础的网络安全工作者进一步做到“知己知彼”、提升网络安全防护能力提供了重要参考资料。 严寒冰 国家互联网应急中心处长 MITRE ATT＆CK 自 2015 年发布至今，一方面得到业界广泛的关注和青睐，另一方面迭代更新了十个版本，攻防技战术知识体系内容不断扩展，庞大到难以透彻地学习和掌握。青藤云安全公司在自身研究与实践的基础上编写了这本书，为业界学习和掌握 MITRE ATT＆CK 框架和体系，提供了从入门到进阶、从实践到生态的循序渐进的指引，对组织和个人系统地提升攻防对抗能力也具有十分重要的帮助。 陈钟 北京大学教授 网络与信息安全实验室主任 ATT＆CK 构建了一套较细粒度的攻击行为模型和更易共享的抽象框架，可用于攻击与防御能力评估、APT 情报分析及攻防演练等。本书对 ATT＆CK 框架进行深度解析，给出了实例分析，列举场景实践项目，利于读者研习，可供网络空间安全、信息安全等专业的教学、科研、应用人员参考使用。 罗森林 北京理工大学信息与电子学院教授 随着企业面临的网络空间威胁越来越多、监管合规的要求越来越高，企业在信息安全方面投入越来越多，在基础体系建设初见成效后，更加关注企业实战攻防能力的建设，入侵防御和检测能力则是其中非常重要的一部分。ATT＆CK 在这一领域是很有借鉴意义的：一方面 ATT＆CK 可以有效地体系化衡量入侵防御和检测能力，进而指引企业在薄弱领域进行提高；另一方面也可以指导蓝军更加全面系统地开展工作，制定研究路线，不断提高攻击能力。本书不仅由浅入深地介绍了 ATT＆CK 框架技术，还从实践和生态的角度展开论述，对于企业网络安全建设而言，有着不错的参考价值。 陈建 平安集团首席安全总监 本书值得甲方朋友研读。本书提供了一个建立完整安全防御体系的全局视角，不仅有精心提炼的方法论，还有具体的战术、知识库、开源工具、生态项目和数据集的构建及分析方法，难能可贵的是以上内容在线上都是免费开源且保持更新的，如已发布容器和 K8S 的攻防矩阵，而这一切又都是从攻击视角经过实践检验的经验沉淀，可以帮助甲方有效评估自身的安全建设成熟度及查漏补缺。 伏明明 中通快递信息安全负责人 在整个安全行业，鲜有集实战应用与理论指导于一身的 ATT＆CK 框架相关图书，本书的出现很好地填补了这一空白：该书由浅入深地向读者介绍了 ATT＆CK框架体系及其在战略战术上的指导意义，其第二部分第 6、第 7 章关于红队视角及蓝队视角的内容尤为精彩，攻防切换，视角互转，能够真切地感受到红蓝对抗及“军备”升级的过程中散发出的无声的硝烟。除此之外，还有关于 APT 组织常用的恶意软件分析及高频攻击手法分析，基于安全运营场景如何有效应用ATT＆CK 框架，基于 SOC 进行蓝军视角的实战堪称经典。本书对于安全从业者来讲，可谓一场饕餮盛宴，对于初入行业和有志于从事安全行业的读者，在构建及完善自我知识框架体系方面会给予极大帮助。 袁明坤 杭州安恒信息技术股份有限公司高级副总裁 ATT＆CK 自面世伊始就引起了业界的关注，目前仍在不断演进和完善中。本书深入浅出，介绍了 ATT＆CK 的背景与框架，从实战入手，给出了基于 ATT＆CK技术的主流攻击组织、恶意软件的攻击手段和相应检测机制。如果希望了解如何利用 ATT＆CK 技术评估第三方厂商方案的安全能力或提升安全运营和威胁狩猎中的检测防护效率，本书将是一个很好的选择。 刘文懋 绿盟科技首席安全专家 近年来，网络空间安全重大事件持续爆发，斯诺登事件、乌克兰电网攻击事件、美国大选干预事件等表明，网络安全威胁已全面泛化，覆盖了从物理基础设施、网络信息系统到社交媒体信息，对虚拟世界、物理世界的诸多方面造成了巨大影响。“没有网络安全就没有国家安全”“安全是发展的前提”“加快构建关键信息基础设施安全保障体系”这些重要论述为我国做好网络空间安全提供了根本遵循依据。关键信息基础设施是国家安全、国计民生和公共利益的核心支撑，国务院 745 号令《关键信息基础设施安全保护条例》的发布，对加快构建网络空间保障体系具有里程碑的战略意义。此文件明确要求运营者在网络安全等级保护的基础上，采取技术保护措施和其他必要措施，应对网络安全事件，防范网络攻击和违法犯罪活动，保障关键信息基础设施安全稳定运行，维护数据的完整性、保密性和可用性。然而，面对不断出现的各种网络安全事件，到底该如何做才能让网络安全问题不再时刻困扰人们呢？其实这一切都是由网络安全的动态属性所决定的。网络安全是动态的而不是静止的，网络安全的形态是不断变化的，一个安全 问题解决了，另一个安全问题又会冒出来，而在网络安全的动态属性中，新技术安全是导致网络安全具有动态特征的主要因素之一，这是因为新技术必然会带来新的安全问题，而各种新技术、新系统源源不断出现，自然会引发各种新的安全问题与安全事件。确保网络安全，特别是其中的关键信息基础设施安全，不仅对网络安全管理部门、运营部门、安全服务机构，还对网络安全从业者都提出了新的能力要求。而且，随着网络安全攻防技术的演进，对运营部门和安全服务机构来说，要有不断演进的对抗技术和知识库，能够全面评估防御能力和监测能力，确保动态属性的网络安全和关键信息基础设施维持在安全可控的状态。ATT＆CK框架的产生，为这一问题的解决提供了一种解决方案。网络安全的本质是一种高技术对抗。网络安全技术主要解决各类信息系统和信息的安全保护问题，而信息 技术自身的快速发展，也必然带来网络安全技术的快速发展。同时，安全的对抗性特点决定了其需要根据对手的最新能力、最新特点采取有针对性的防御策略，网络安全也是一项具有很强实践性要求的学科。因此，网络安全人才的培养不仅需要重视理论与技术体系的传授，还需要重视实践能力的锻炼。“网络空间的竞争，归根结底是人才竞争”“网络安全的本质在对抗，对抗的本质在攻防两端能力较量”，这说明人是网络安全的核心，而提高人的能力要靠实践锻炼。 ATT＆CK 是一种供防守方使用的对抗战术和技术知识库框架，防守方可使用ATT＆CK 作为一把统一的尺子去衡量其防御和检测能力。ATT＆CK 适用于基于云技术架构的信息系统、移动通信，以及工业控制系统等领域。可使用 ATT＆CK 架构描述网络攻击中各环节的战术、技术和步骤，从而帮助运营者或安全服务者更好地进行风险评估，防范安全隐患。ATT＆CK 框架来源于网络安全实战中的经验总结，是安全从业者在长期攻防对抗、攻击溯源、对攻击手法分析的过程中，提炼总结而形成的技术体系框架。 张福、胡俊、程度三位年轻作者，来自国内网络安全新锐——青藤云安全，有多年网络安全一线服务和实战经验，对 ATT＆CK 有着丰富经验、案例和实践感悟，并愿意把自己使用 ATT＆CK 的经验整理成书，分享给更多网络安全爱好者，这种分享精神值得学习。本书从 ATT＆CK 框架入手，对核心架构、应用场景、技术复现、对抗实践、指标评估等多个层面做了深度解析，通过阅读本书能够帮助安全运营者、网络安全服务者，以及安全从业者深入、系统、全面地了解、认识和使用 ATT＆CK 框架网络安全实战模型，不断提升网络安全防护体系及安全运营能力。ATT＆CK 框架是一种不断持续更新改进的对抗战术和技术知识库，涵盖了几十种攻击战术和上百种攻击技术，这些技术也特别适合高校网络安全相关专业的高年级学生学习和实践，对网络安全人才培养将大有益处。 封化民 教育部高等学校网络安全专业教指委秘书长 序言 过去，入侵检测能力的度量一直是网络安全领域的一个行业难题，各个企业每年在入侵防护上都投入了不少钱，但是几乎没有安全人员能回答 CEO 的问题：“买了这么多安全产品，我们的入侵防御和检测能力到底怎么样，能不能防住黑客？”这个问题很难回答，核心原因是缺乏一个明确的、可衡量的、可落地的标准。所以，防守方对于入侵检测能力的判定通常会陷入不可知和不确定的状态中，既说不清自己能力的高低，也无法有效弥补自己的短板。 MITRE ATT＆CK 的出现解决了这个行业难题。它给了我们一把尺子，让我们可以用统一的标准去衡量自己的防御和检测能力。ATT＆CK 并非是一个学院派的理论框架，而是来源于实战。ATT＆CK 框架是安全从业者们在长期的攻防对抗、攻击溯源、攻击手法分析的过程中，逐渐提炼总结而形成的实用性强、可落地、说得清道得明的体系框架。这个框架是先进的、充满生命力的，而且具备非常高的使用价值。 尽管 MITRE ATT＆CK 毫无疑问是近几年安全领域最热门的话题之一，大多数安全行业从业者或多或少都听说过它，但是由于时间、精力、资料有限等原因，能够深入研究 ATT＆CK 的研究者在国内寥寥无几。青藤云安全因为公司业务的需要，早在几年前就开始关注 ATT＆CK 的发展，并且从 2018 年开始系统性地对ATT＆CK 进行研究。经过五年多的研究、学习和探索，青藤云安全积累了相对比较成熟和系统化的研究材料，内容涵盖了从 ATT＆CK 框架的基本介绍、战术与技术解析，到攻击技术的复现、分析与检测，再到实际应用与实践，以及 ATT＆CK 生态的发展。 研究得越多，我们越意识到 MITRE ATT＆CK 可以为行业带来的贡献。因此，我们编写了本书，作为 ATT＆CK 框架的系统性学习材料，希望让更多人了解ATT＆CK，学习先进的理论体系，提升防守方的技术水平，加强攻防对抗能力。我们也欢迎大家一起加入到研究中，为这个体系的完善贡献一份力量。 青藤云安全创始人兼 CEO 张福 2023-05-10 前言 MITRE 发起的对抗战术和技术知识库——ATT＆CK 始于 2015 年，其目标是提供一个“基于现实世界观察的、全球可访问的对抗战术和技术知识库”。ATT＆CK 一经问世，便迅速风靡信息安全行业。全球各地的许多安全厂商和信息安全团队都迅速采用了 ATT＆CK 框架。在他们看来，ATT＆CK 框架是近年来信息安全领域最有用也是最急需的一个框架。ATT＆CK 框架提供了许多企业过去一直在努力实现的关键能力：开发、组织和使用基于威胁信息的防御策略，以便让合作伙伴、行业、安全厂商能够以一种标准化的方式进行沟通交流。 在 ATT＆CK 框架出现之前，评估组织机构的安全态势是一件很麻烦的事情。当然，安全团队可以利用威胁情报来验证他们可以检测到哪些特定的攻击方法，但始终有一个问题萦绕在他们的心头：“如果我漏掉了某些攻击，会产生什么后果？”但如果安全团队验证了很多攻击方法，就很容易产生一种虚假的安全感，并对自己的防御能力过于自信。毕竟，我们很难了解“未知的未知”。 幸运的是，ATT＆CK 框架的出现解决了这一问题。MITRE 公司经过大量的研究和整理工作，建立了 ATT＆CK 框架。ATT＆CK 框架创建了一个包括所有已知攻击方法的分类列表，将其与使用这些方法的攻击组织、实现这些方法的软件以及遏制其使用的缓解措施和检测方法结合起来，可以有效减轻组织机构对上文所述安全评估的焦虑感。ATT＆CK 框架旨在成为一个不断更新的数据集，一旦行业内出现了经过验证的最新信息，数据集就会持续更新，从而将 ATT＆CK 打造成为所有安全人员心目中最全面、最值得信赖的安全框架。 虽然 ATT＆CK 框架在评估安全态势、增强安全防御能力等诸多场景下都能发挥重大作用，但国内安全从业人员受限于时间、精力、语言差异等因素，很难深入地、系统化地研究该框架。为了让相关从业人员了解该框架，作者编写了本书。本书的上一版面世以来，受到了广大安全从业人员的喜爱，曾连续数月蝉联京东计算机类图书周榜第 1 名，并受台湾出版社之邀，发行了繁体版本。ATT＆CK框架每年都会更新两个版本，自本书上一版出版后，ATT＆CK 框架的内容发生了重大变化。与此同时，作者在探索应用 ATT＆CK 方面也积累了更为丰富的实践经验。鉴于此，第二版做了大量更新。本书按照由浅入深的顺序分为五部分，第一部分为 ATT＆CK 入门篇，介绍了 ATT＆CK 框架的整体架构，并详细介绍了近几年来基于 ATT＆CK 框架的扩展知识库，例如针对容器和 K8S 的知识库、针对内部威胁的 TTPs 知识库，以及针对网络安全对策的知识图谱 MITRE D3FEND；第二部分为 ATT＆CK 提高篇，介绍了如何结合 ATT＆CK 框架来检测一些常见的攻击组织、恶意软件和高频攻击技术，并分别从红队视角和蓝队视角对一些攻击技术进行了复现和检测分析；第三部分为 ATT＆CK 场景与工具篇，介绍了 ATT＆CK的一些应用工具与项目，以及如何利用这些工具进行实践（实践场景包括威胁情报、检测分析、模拟攻击、评估改进）；第四部分为 ATT＆CK 运营实战篇，主要介绍了数据源的应用、ATT＆CK 的映射实践、基于 ATT＆CK 的运营和威胁狩猎；第五部分为 ATT＆CK 生态篇，介绍了 ATT＆CK 生态内的几个重点项目，包括攻击行为序列数据模型 Attack Flow、主动作战框架 MITRE Engage，以及旨在验证安全工具检测能力的 ATT＆CK 测评。 最后，本书主要基于 ATT＆CK 框架相关的开源资料，以及作者的 ATT＆CK框架实践经验总结而来，旨在为那些限于时间、精力、语言等原因而未能深入研究 ATT＆CK 的人员提供便利，帮助大家利用这一框架筑牢安全屏障。但由于作者能力和精力有限，书中难免有错漏之处，恳请广大读者批评指正。

第一部分 ATT＆CK 入门篇 第 1 章 潜心开始 MITRE ATT＆CK 之旅 ............................................ 2 1.1 MITRE ATT＆CK 是什么 .............................................................................. 3 1.1.1 MITRE ATT＆CK 框架概述 .............................................................. 4 1.1.2 ATT＆CK 框架背后的安全哲学 ....................................................... 9 1.1.3 ATT＆CK 框架与 Kill Chain 模型的对比 ...................................... 11 1.1.4 ATT＆CK 框架与痛苦金字塔模型的关系 ..................................... 13 1.2 ATT＆CK 框架七大对象 ............................................................................. 13 1.3 ATT＆CK 框架实例说明 ............................................................................. 21 1.3.1 ATT＆CK 战术实例 ......................................................................... 21 1.3.2 ATT＆CK 技术实例 ......................................................................... 34 1.3.3 ATT＆CK 子技术实例 ..................................................................... 37 第 2 章 基于 ATT＆CK 框架的扩展知识库 .......................................... 41 2.1 针对容器的 ATT＆CK 攻防知识库 ............................................................ 42 2.1.1 执行命令行或进程 .......................................................................... 43 2.1.2 植入恶意镜像实现持久化 .............................................................. 44 2.1.3 通过容器逃逸实现权限提升 .......................................................... 44 2.1.4 绕过或禁用防御机制 ...................................................................... 44 2.1.5 基于容器 API 获取权限访问 .......................................................... 45 2.1.6 容器资源发现 .................................................................................. 45 2.2 针对 Kubernetes 的攻防知识库 .................................................................. 46 2.2.1 通过漏洞实现对 Kubernetes 的初始访问 ...................................... 47 2.2.2 执行恶意代码 .................................................................................. 48 2.2.3 持久化访问权限 .............................................................................. 48 2.2.4 获取更高访问权限 .......................................................................... 49 2.2.5 隐藏踪迹绕过检测 .......................................................................... 50 2.2.6 获取各类凭证 .................................................................................. 51 2.2.7 发现环境中的有用资源 .................................................................. 52 2.2.8 在环境中横向移动 .......................................................................... 53 2.2.9 给容器化环境造成危害 .................................................................. 54 2.3 针对内部威胁的 TTPs 攻防知识库 ............................................................ 55 2.3.1 内部威胁 TTPs 知识库的研究范围 ............................................... 56 2.3.2 与 ATT＆CK 矩阵的关系 ................................................................ 57 2.3.3 内部威胁者常用策略 ...................................................................... 58 2.3.4 针对内部威胁的防御措施 .............................................................. 60 2.4 针对网络安全对策的知识图谱 MITRE D3FEND ..................................... 60 2.4.1 建立 D3FEND 的原因 ..................................................................... 61 2.4.2 构建 MITRE D3FEND 的方法论 ................................................... 61 2.5 针对软件供应链的 ATT＆CK 框架 OSC＆R .............................................. 67 第二部分 ATT＆CK 提高篇 第 3 章 十大攻击组织/恶意软件的分析与检测 ...................................... 72 3.1 TA551 攻击行为的分析与检测 .................................................................. 73 3.2 漏洞利用工具 Cobalt Strike 的分析与检测 ............................................... 75 3.3 银行木马 Qbot 的分析与检测 .................................................................... 77 3.4 银行木马 lcedlD 的分析与检测 .................................................................. 78 3.5 凭证转储工具 Mimikatz 的分析与检测 ..................................................... 80 3.6 恶意软件 Shlayer 的分析与检测 ................................................................ 82 3.7 银行木马 Dridex 的分析与检测 ................................................................. 83 3.8 银行木马 Emotet 的分析与检测 ................................................................. 85 3.9 银行木马 TrickBot 的分析与检测 .............................................................. 86 3.10 蠕虫病毒 Gamarue 的分析与检测 ............................................................ 87 第 4 章 十大高频攻击技术的分析与检测 ............................................. 89 4.1 命令和脚本解析器（T1059）的分析与检测 ............................................ 90 4.1.1 PowerShell（T1059.001）的分析与检测 ...................................... 90 4.1.2 Windows Cmd Shell（T1059.003）的分析与检测 ........................ 92 4.2 利用已签名二进制文件代理执行（T1218）的分析与检测 .................... 94 4.2.1 Rundll32（T1218.011）的分析与检测 .......................................... 94 4.2.2 Mshta（T1218.005）的分析与检测 ............................................... 98 4.3 创建或修改系统进程（T1543）的分析与检测 ...................................... 102 4.4 计划任务/作业（T1053）的分析与检测 ................................................. 105 4.5 OS 凭证转储（T1003）的分析与检测 .................................................... 108 4.6 进程注入（T1055）的分析与检测 .......................................................... 111 4.7 混淆文件或信息（T1027）的分析与检测 .............................................. 114 4.8 入口工具转移（T1105）的分析与检测 .................................................. 117 4.9 系统服务（T1569）的分析与检测 .......................................................... 119 4.10 伪装（T1036）的分析与检测 ................................................................ 121 第 5 章 红队视角：典型攻击技术的复现 ........................................... 123 5.1 基于本地账户的初始访问 ........................................................................ 124 5.2 基于 WMI 执行攻击技术 ......................................................................... 125 5.3 基于浏览器插件实现持久化 .................................................................... 126 5.4 基于进程注入实现提权 ............................................................................ 128 5.5 基于 Rootkit 实现防御绕过 ...................................................................... 129 5.6 基于暴力破解获得凭证访问权限 ............................................................ 130 5.7 基于操作系统程序发现系统服务 ............................................................ 132 5.8 基于 SMB 实现横向移动 .......................................................................... 133 5.9 自动化收集内网数据 ................................................................................ 135 5.10 通过命令与控制通道传递攻击载荷 ...................................................... 136 5.11 成功窃取数据 .......................................................................................... 137 5.12 通过停止服务造成危害 .......................................................................... 138 第 6 章 蓝队视角：攻击技术的检测示例 ........................................... 139 6.1 执行：T1059 命令和脚本解释器的检测 ................................................. 140 6.2 持久化：T1543.003 创建或修改系统进程（Windows 服务）的检测 .. 141 6.3 权限提升：T1546.015 组件对象模型劫持的检测 .................................. 143 6.4 防御绕过：T1055.001 DLL 注入的检测 ................................................. 144 6.5 凭证访问：T1552.002 注册表中的凭证的检测 ...................................... 146 6.6 发现：T1069.002 域用户组的检测 .......................................................... 147 6.7 横向移动：T1550.002 哈希传递攻击的检测 .......................................... 148 6.8 收集：T1560.001 通过程序压缩的检测 .................................................. 149 第 7 章 不同形式的攻击模拟 .......................................................... 150 7.1 基于红蓝对抗的全流程攻击模拟 ............................................................ 151 7.1.1 模拟攻击背景 ................................................................................ 152 7.1.2 模拟攻击流程 ................................................................................ 153 7.2 微模拟攻击的概述与应用 ........................................................................ 162 7.2.1 微模拟攻击计划概述 .................................................................... 163 7.2.2 微模拟攻击的应用 ........................................................................ 164 第三部分 ATT＆CK 场景与工具篇 第 8 章 ATT＆CK 应用工具与应用项目 ........................................... 176 8.1 ATT＆CK 四个关键项目工具 ................................................................... 177 8.1.1 Navigator 项目 ............................................................................... 177 8.1.2 CARET 项目 .................................................................................. 180 8.1.3 TRAM 项目 ................................................................................... 181 8.1.4 Workbench 项目 ............................................................................. 182 8.2 ATT＆CK 实践应用项目 ........................................................................... 186 8.2.1 红队使用项目 ................................................................................ 186 8.2.2 蓝队使用项目 ................................................................................ 188 8.2.3 CTI 团队使用 ................................................................................ 190 8.2.4 CSO 使用项目 ............................................................................... 195 第 9 章 ATT＆CK 四大实践场景 .................................................... 197 9.1 ATT＆CK 的四大使用场景 ....................................................................... 200 9.1.1 威胁情报 ........................................................................................ 200 9.1.2 检测分析 ........................................................................................ 203 9.1.3 模拟攻击 ........................................................................................ 205 9.1.4 评估改进 ........................................................................................ 208 9.2 ATT＆CK 实践的常见误区 ....................................................................... 213 第四部分 ATT＆CK 运营实战篇 第 10 章 数据源是应用 ATT＆CK 的前提 ......................................... 218 10.1 当前 ATT＆CK 数据源急需解决的问题 ................................................ 219 10.1.1 定义数据源 .................................................................................. 220 10.1.2 标准化命名语法 .......................................................................... 220 10.1.3 确保平台一致性 .......................................................................... 222 10.2 改善 ATT＆CK 数据源的使用情况 ........................................................ 224 10.2.1 利用数据建模 .............................................................................. 225 10.2.2 通过数据元素定义数据源 .......................................................... 226 10.2.3 整合数据建模和攻击者建模 ...................................................... 226 10.2.4 扩展 ATT＆CK 数据源对象 ........................................................ 227 10.2.5 使用数据组件扩展数据源 .......................................................... 228 10.3 ATT＆CK 数据源的标准化定义与运用示例 ......................................... 230 10.3.1 改进进程监控 .............................................................................. 231 10.3.2 改进 Windows 事件日志 ............................................................. 236 10.3.3 子技术用例 .................................................................................. 239 10.4 数据源在安全运营中的运用 .................................................................. 241 第 11 章 MITRE ATT＆CK 映射实践.............................................. 244 11.1 将事件报告映射到 MITRE ATT＆CK .................................................... 245 11.2 将原始数据映射到 MITRE ATT＆CK .................................................... 249 11.3 映射到 MITRE ATT＆CK 时的常见错误与偏差 ................................... 251 11.4 通过 MITRE ATT＆CK 编写事件报告 ................................................... 254 11.5 ATT＆CK for ICS 的映射建议 ................................................................ 257 第 12 章 基于 ATT＆CK 的安全运营 ............................................... 260 12.1 基于 ATT＆CK 的运营流程 .................................................................... 262 12.1.1 知己：分析现有数据源缺口 ...................................................... 262 12.1.2 知彼：收集网络威胁情报 .......................................................... 263 12.1.3 实践：分析测试 .......................................................................... 264 12.2 基于 ATT＆CK 的运营评估 .................................................................... 267 12.2.1 将 ATT＆CK 应用于 SOC 的步骤 .............................................. 267 12.2.2 将 ATT＆CK 应用于 SOC 的技巧 .............................................. 271 第 13 章 基于 ATT＆CK 的威胁狩猎 ............................................... 274 13.1 ATT＆CK 让狩猎过程透明化 ................................................................. 277 13.2 基于 TTPs 的威胁狩猎 ........................................................................... 280 13.2.1 检测方法和数据类型分析 .......................................................... 281 13.2.2 威胁狩猎的方法实践 .................................................................. 283 13.3 基于重点战术的威胁狩猎 ...................................................................... 302 13.3.1 内部侦察的威胁狩猎 .................................................................. 303 13.3.2 持久化的威胁狩猎 ...................................................................... 305 13.3.3 横向移动的威胁狩猎 .................................................................. 311 第 14 章 多行业的威胁狩猎实战 ..................................................... 316 14.1 金融行业的威胁狩猎 .............................................................................. 317 14.2 企业机构的威胁狩猎 .............................................................................. 324 第五部分 ATT＆CK 生态篇 第 15 章 攻击行为序列数据模型 Attack Flow .................................. 332 15.1 Attack Flow 的组成要素 ......................................................................... 333 15.2 Attack Flow 用例 ..................................................................................... 333 15.3 Attack Flow 的使用方法 ......................................................................... 335 第 16 章 主动作战框架 MITRE Engage ......................................... 341 16.1 MITRE Engage 介绍 ................................................................................ 342 16.1.1 详解 MITRE Engage 矩阵结构 ................................................... 342 16.1.2 MITRE Engage 与 MITRE ATT＆CK 的映射关系 ..................... 344 16.1.3 Engage 与传统网络阻断、网络欺骗间的关系 ......................... 344 16.2 MITRE Engage 矩阵入门实践 ................................................................ 346 16.2.1 如何将 Engage 矩阵整合到企业网络战略中来 ........................ 346 16.2.2 Engage 实践的四要素 ................................................................. 346 16.2.3 Engage 实践落地流程：收集、分析、确认、实施 ................. 347 16.2.4 对抗作战实施：10 步流程法 ..................................................... 348 第 17 章 ATT＆CK 测评 ............................................................... 352 17.1 测评方法 .................................................................................................. 353 17.2 测评流程 .................................................................................................. 355 17.3 测评内容 .................................................................................................. 357 17.3.1 ATT＆CK for Enterprise 测评 ...................................................... 358 17.3.2 ATT＆CK for ICS 测评 ................................................................ 361 17.3.3 托管服务测评 .............................................................................. 364 17.3.4 欺骗类测评 .................................................................................. 367 17.4 测评结果 .................................................................................................. 369 17.5 总结 .......................................................................................................... 372 附录 A ATT＆CK 战术及场景实践 .................................................. 374 附录 B ATT＆CK 版本更新情况 ..................................................... 395