ATT&CK框架實(shí)踐指南（第2版）

定　價(jià)：￥160.00

作　者：	張福等
出版社：	電子工業(yè)出版社
叢編項(xiàng)：
標(biāo)　簽：	暫缺

購買這本書可以去

當(dāng)當(dāng)網(wǎng) (￥120.00)

ISBN：	9787121453182	出版時(shí)間：	2023-07-01	包裝：	平塑勒
開本：		頁數(shù)：		字?jǐn)?shù)：

內(nèi)容簡介

　　本書由淺入深，從原理到實(shí)踐，從攻到防，循序漸進(jìn)地介紹了備受信息安全行業(yè)青睞的ATT＆CK 框架，旨在幫助相關(guān)企業(yè)更好地將 ATT＆CK 框架用于安全防御能力建設(shè)。全書分為5 部分，共 17 章，詳細(xì)介紹了 ATT＆CK 框架的整體架構(gòu)，如何利用 ATT＆CK 框架檢測一些常見的攻擊組織、惡意軟件和高頻攻擊技術(shù)，以及 ATT＆CK 在實(shí)踐中的落地應(yīng)用，最后介紹了MITRE ATT＆CK 相關(guān)的生態(tài)項(xiàng)目，包括 MITRE Engage 以及 ATT＆CK 測評。本書適合網(wǎng)絡(luò)安全從業(yè)人員（包括 CISO、CSO、藍(lán)隊(duì)人員、紅隊(duì)人員等）、網(wǎng)絡(luò)安全研究人員等閱讀，也可供網(wǎng)絡(luò)空間安全、信息安全等專業(yè)教學(xué)、科研、應(yīng)用人員參考。

作者簡介

　　張福，青藤云安全聯(lián)合創(chuàng)始人＆CEO，畢業(yè)于同濟(jì)大學(xué)，專注于前沿技術(shù)研究，在安全攻防領(lǐng)域有超過15年的探索和實(shí)踐，曾先后在國內(nèi)多家知名互聯(lián)網(wǎng)企業(yè)，如第九城市、盛大網(wǎng)絡(luò)、昆侖萬維，擔(dān)任技術(shù)和業(yè)務(wù)安全負(fù)責(zé)人。目前，張福擁有10余項(xiàng)自主知識(shí)產(chǎn)權(quán)發(fā)明專利、30余項(xiàng)軟件著作權(quán)，曾榮獲“改革開放40年網(wǎng)絡(luò)安全領(lǐng)軍人物”“ 中關(guān)村高端領(lǐng)軍人才”“中關(guān)村創(chuàng)業(yè)之星”等稱號(hào)。程度，青藤云安全聯(lián)合創(chuàng)始人＆COO，畢業(yè)于首都師范大學(xué)，擅長網(wǎng)絡(luò)攻防安全技術(shù)研究和大數(shù)據(jù)算法研究，在云計(jì)算安全、機(jī)器學(xué)習(xí)領(lǐng)域有很高的學(xué)術(shù)造詣，參與多項(xiàng)云安全標(biāo)準(zhǔn)制定和標(biāo)準(zhǔn)審核工作，現(xiàn)兼任《信息安全研究》《信息網(wǎng)絡(luò)安全》編委，曾發(fā)表多篇論文，并被國內(nèi)核心期刊收錄，曾獲“OSCAR尖峰開源技術(shù)杰出貢獻(xiàn)獎(jiǎng)”。胡俊，青藤云安全聯(lián)合創(chuàng)始人＆產(chǎn)品副總裁，畢業(yè)于華中科技大學(xué)，中國信息通信研究院可信云專家組成員，入選武漢東湖高新技術(shù)開發(fā)區(qū)第十一批“3551光谷人才計(jì)劃"，曾在百納信息主導(dǎo)了多款工具應(yīng)用、海豚瀏覽器云服務(wù)的開發(fā)。青藤云安全創(chuàng)立后，主導(dǎo)開發(fā)“青藤萬相·主機(jī)自適應(yīng)安全平臺(tái)”“ 青藤蜂巢·云原生安全平臺(tái)”等產(chǎn)品，獲得發(fā)明專利10余項(xiàng)，是國家級安全產(chǎn)品專家，曾發(fā)表多篇論文，并被中文核心期刊收錄。

圖書目錄

第一部分 ATT＆CK 入門篇
第 1 章潛心開始 MITRE ATT＆CK 之旅 ............................................ 2
1.1 MITRE ATT＆CK 是什么 .............................................................................. 3
1.1.1 MITRE ATT＆CK 框架概述 .............................................................. 4
1.1.2 ATT＆CK 框架背后的安全哲學(xué) ....................................................... 9
1.1.3 ATT＆CK 框架與 Kill Chain 模型的對比 ...................................... 11
1.1.4 ATT＆CK 框架與痛苦金字塔模型的關(guān)系 ..................................... 13
1.2 ATT＆CK 框架七大對象 ............................................................................. 13
1.3 ATT＆CK 框架實(shí)例說明 ............................................................................. 21
1.3.1 ATT＆CK 戰(zhàn)術(shù)實(shí)例 ......................................................................... 21
1.3.2 ATT＆CK 技術(shù)實(shí)例 ......................................................................... 34
1.3.3 ATT＆CK 子技術(shù)實(shí)例 ..................................................................... 37
第 2 章基于 ATT＆CK 框架的擴(kuò)展知識(shí)庫 .......................................... 41
2.1 針對容器的 ATT＆CK 攻防知識(shí)庫 ............................................................ 42
2.1.1 執(zhí)行命令行或進(jìn)程 .......................................................................... 43
2.1.2 植入惡意鏡像實(shí)現(xiàn)持久化 .............................................................. 44
2.1.3 通過容器逃逸實(shí)現(xiàn)權(quán)限提升 .......................................................... 44
2.1.4 繞過或禁用防御機(jī)制 ...................................................................... 44
2.1.5 基于容器 API 獲取權(quán)限訪問 .......................................................... 45
2.1.6 容器資源發(fā)現(xiàn) .................................................................................. 45
2.2 針對 Kubernetes 的攻防知識(shí)庫 .................................................................. 46
2.2.1 通過漏洞實(shí)現(xiàn)對 Kubernetes 的初始訪問 ...................................... 47
2.2.2 執(zhí)行惡意代碼 .................................................................................. 48
2.2.3 持久化訪問權(quán)限 .............................................................................. 48
2.2.4 獲取更高訪問權(quán)限 .......................................................................... 49
2.2.5 隱藏蹤跡繞過檢測 .......................................................................... 50
2.2.6 獲取各類憑證 .................................................................................. 51
2.2.7 發(fā)現(xiàn)環(huán)境中的有用資源 .................................................................. 52
2.2.8 在環(huán)境中橫向移動(dòng) .......................................................................... 53
2.2.9 給容器化環(huán)境造成危害 .................................................................. 54
2.3 針對內(nèi)部威脅的 TTPs 攻防知識(shí)庫 ............................................................ 55
2.3.1 內(nèi)部威脅 TTPs 知識(shí)庫的研究范圍 ............................................... 56
2.3.2 與 ATT＆CK 矩陣的關(guān)系 ................................................................ 57
2.3.3 內(nèi)部威脅者常用策略 ...................................................................... 58
2.3.4 針對內(nèi)部威脅的防御措施 .............................................................. 60
2.4 針對網(wǎng)絡(luò)安全對策的知識(shí)圖譜 MITRE D3FEND ..................................... 60
2.4.1 建立 D3FEND 的原因 ..................................................................... 61
2.4.2 構(gòu)建 MITRE D3FEND 的方法論 ................................................... 61
2.5 針對軟件供應(yīng)鏈的 ATT＆CK 框架 OSC＆R .............................................. 67
第二部分 ATT＆CK 提高篇
第 3 章十大攻擊組織/惡意軟件的分析與檢測 ...................................... 72
3.1 TA551 攻擊行為的分析與檢測 .................................................................. 73
3.2 漏洞利用工具 Cobalt Strike 的分析與檢測 ............................................... 75
3.3 銀行木馬 Qbot 的分析與檢測 .................................................................... 77
3.4 銀行木馬 lcedlD 的分析與檢測 .................................................................. 78
3.5 憑證轉(zhuǎn)儲(chǔ)工具 Mimikatz 的分析與檢測 ..................................................... 80
3.6 惡意軟件 Shlayer 的分析與檢測 ................................................................ 82
3.7 銀行木馬 Dridex 的分析與檢測 ................................................................. 83
3.8 銀行木馬 Emotet 的分析與檢測 ................................................................. 85
3.9 銀行木馬 TrickBot 的分析與檢測 .............................................................. 86
3.10 蠕蟲病毒 Gamarue 的分析與檢測 ............................................................ 87
第 4 章十大高頻攻擊技術(shù)的分析與檢測 ............................................. 89
4.1 命令和腳本解析器（T1059）的分析與檢測 ............................................ 90
4.1.1 PowerShell（T1059.001）的分析與檢測 ...................................... 90
4.1.2 Windows Cmd Shell（T1059.003）的分析與檢測 ........................ 92
4.2 利用已簽名二進(jìn)制文件代理執(zhí)行（T1218）的分析與檢測 .................... 94
4.2.1 Rundll32（T1218.011）的分析與檢測 .......................................... 94
4.2.2 Mshta（T1218.005）的分析與檢測 ............................................... 98
4.3 創(chuàng)建或修改系統(tǒng)進(jìn)程（T1543）的分析與檢測 ...................................... 102
4.4 計(jì)劃任務(wù)/作業(yè)（T1053）的分析與檢測 ................................................. 105
4.5 OS 憑證轉(zhuǎn)儲(chǔ)（T1003）的分析與檢測 .................................................... 108
4.6 進(jìn)程注入（T1055）的分析與檢測 .......................................................... 111
4.7 混淆文件或信息（T1027）的分析與檢測 .............................................. 114
4.8 入口工具轉(zhuǎn)移（T1105）的分析與檢測 .................................................. 117
4.9 系統(tǒng)服務(wù)（T1569）的分析與檢測 .......................................................... 119
4.10 偽裝（T1036）的分析與檢測 ................................................................ 121
第 5 章紅隊(duì)視角：典型攻擊技術(shù)的復(fù)現(xiàn) ........................................... 123
5.1 基于本地賬戶的初始訪問 ........................................................................ 124
5.2 基于 WMI 執(zhí)行攻擊技術(shù) ......................................................................... 125
5.3 基于瀏覽器插件實(shí)現(xiàn)持久化 .................................................................... 126
5.4 基于進(jìn)程注入實(shí)現(xiàn)提權(quán) ............................................................................ 128
5.5 基于 Rootkit 實(shí)現(xiàn)防御繞過 ...................................................................... 129
5.6 基于暴力破解獲得憑證訪問權(quán)限 ............................................................ 130
5.7 基于操作系統(tǒng)程序發(fā)現(xiàn)系統(tǒng)服務(wù) ............................................................ 132
5.8 基于 SMB 實(shí)現(xiàn)橫向移動(dòng) .......................................................................... 133
5.9 自動(dòng)化收集內(nèi)網(wǎng)數(shù)據(jù) ................................................................................ 135
5.10 通過命令與控制通道傳遞攻擊載荷 ...................................................... 136
5.11 成功竊取數(shù)據(jù) .......................................................................................... 137
5.12 通過停止服務(wù)造成危害 .......................................................................... 138
第 6 章藍(lán)隊(duì)視角：攻擊技術(shù)的檢測示例 ........................................... 139
6.1 執(zhí)行：T1059 命令和腳本解釋器的檢測 ................................................. 140
6.2 持久化：T1543.003 創(chuàng)建或修改系統(tǒng)