ATT&CK框架實(shí)踐指南（第2版）

定　價(jià)：￥160.00

作　者：	張福等
出版社：	電子工業(yè)出版社
叢編項(xiàng)：
標(biāo)　簽：	暫缺

購(gòu)買這本書可以去

當(dāng)當(dāng)網(wǎng) (￥120.00)

ISBN：	9787121453182	出版時(shí)間：	2023-07-01	包裝：	平塑勒
開本：		頁(yè)數(shù)：		字?jǐn)?shù)：

內(nèi)容簡(jiǎn)介

　　本書由淺入深，從原理到實(shí)踐，從攻到防，循序漸進(jìn)地介紹了備受信息安全行業(yè)青睞的ATT＆CK 框架，旨在幫助相關(guān)企業(yè)更好地將 ATT＆CK 框架用于安全防御能力建設(shè)。全書分為5 部分，共 17 章，詳細(xì)介紹了 ATT＆CK 框架的整體架構(gòu)，如何利用 ATT＆CK 框架檢測(cè)一些常見的攻擊組織、惡意軟件和高頻攻擊技術(shù)，以及 ATT＆CK 在實(shí)踐中的落地應(yīng)用，最后介紹了MITRE ATT＆CK 相關(guān)的生態(tài)項(xiàng)目，包括 MITRE Engage 以及 ATT＆CK 測(cè)評(píng)。本書適合網(wǎng)絡(luò)安全從業(yè)人員（包括 CISO、CSO、藍(lán)隊(duì)人員、紅隊(duì)人員等）、網(wǎng)絡(luò)安全研究人員等閱讀，也可供網(wǎng)絡(luò)空間安全、信息安全等專業(yè)教學(xué)、科研、應(yīng)用人員參考。

作者簡(jiǎn)介

　　張福，青藤云安全聯(lián)合創(chuàng)始人＆CEO，畢業(yè)于同濟(jì)大學(xué)，專注于前沿技術(shù)研究，在安全攻防領(lǐng)域有超過(guò)15年的探索和實(shí)踐，曾先后在國(guó)內(nèi)多家知名互聯(lián)網(wǎng)企業(yè)，如第九城市、盛大網(wǎng)絡(luò)、昆侖萬(wàn)維，擔(dān)任技術(shù)和業(yè)務(wù)安全負(fù)責(zé)人。目前，張福擁有10余項(xiàng)自主知識(shí)產(chǎn)權(quán)發(fā)明專利、30余項(xiàng)軟件著作權(quán)，曾榮獲“改革開放40年網(wǎng)絡(luò)安全領(lǐng)軍人物”“ 中關(guān)村高端領(lǐng)軍人才”“中關(guān)村創(chuàng)業(yè)之星”等稱號(hào)。程度，青藤云安全聯(lián)合創(chuàng)始人＆COO，畢業(yè)于首都師范大學(xué)，擅長(zhǎng)網(wǎng)絡(luò)攻防安全技術(shù)研究和大數(shù)據(jù)算法研究，在云計(jì)算安全、機(jī)器學(xué)習(xí)領(lǐng)域有很高的學(xué)術(shù)造詣，參與多項(xiàng)云安全標(biāo)準(zhǔn)制定和標(biāo)準(zhǔn)審核工作，現(xiàn)兼任《信息安全研究》《信息網(wǎng)絡(luò)安全》編委，曾發(fā)表多篇論文，并被國(guó)內(nèi)核心期刊收錄，曾獲“OSCAR尖峰開源技術(shù)杰出貢獻(xiàn)獎(jiǎng)”。胡俊，青藤云安全聯(lián)合創(chuàng)始人＆產(chǎn)品副總裁，畢業(yè)于華中科技大學(xué)，中國(guó)信息通信研究院可信云專家組成員，入選武漢東湖高新技術(shù)開發(fā)區(qū)第十一批“3551光谷人才計(jì)劃"，曾在百納信息主導(dǎo)了多款工具應(yīng)用、海豚瀏覽器云服務(wù)的開發(fā)。青藤云安全創(chuàng)立后，主導(dǎo)開發(fā)“青藤萬(wàn)相·主機(jī)自適應(yīng)安全平臺(tái)”“ 青藤蜂巢·云原生安全平臺(tái)”等產(chǎn)品，獲得發(fā)明專利10余項(xiàng)，是國(guó)家級(jí)安全產(chǎn)品專家，曾發(fā)表多篇論文，并被中文核心期刊收錄。

圖書目錄

第一部分 ATT＆CK 入門篇
第 1 章潛心開始 MITRE ATT＆CK 之旅 ............................................ 2
1.1 MITRE ATT＆CK 是什么 .............................................................................. 3
1.1.1 MITRE ATT＆CK 框架概述 .............................................................. 4
1.1.2 ATT＆CK 框架背后的安全哲學(xué) ....................................................... 9
1.1.3 ATT＆CK 框架與 Kill Chain 模型的對(duì)比 ...................................... 11
1.1.4 ATT＆CK 框架與痛苦金字塔模型的關(guān)系 ..................................... 13
1.2 ATT＆CK 框架七大對(duì)象 ............................................................................. 13
1.3 ATT＆CK 框架實(shí)例說(shuō)明 ............................................................................. 21
1.3.1 ATT＆CK 戰(zhàn)術(shù)實(shí)例 ......................................................................... 21
1.3.2 ATT＆CK 技術(shù)實(shí)例 ......................................................................... 34
1.3.3 ATT＆CK 子技術(shù)實(shí)例 ..................................................................... 37
第 2 章基于 ATT＆CK 框架的擴(kuò)展知識(shí)庫(kù) .......................................... 41
2.1 針對(duì)容器的 ATT＆CK 攻防知識(shí)庫(kù) ............................................................ 42
2.1.1 執(zhí)行命令行或進(jìn)程 .......................................................................... 43
2.1.2 植入惡意鏡像實(shí)現(xiàn)持久化 .............................................................. 44
2.1.3 通過(guò)容器逃逸實(shí)現(xiàn)權(quán)限提升 .......................................................... 44
2.1.4 繞過(guò)或禁用防御機(jī)制 ...................................................................... 44
2.1.5 基于容器 API 獲取權(quán)限訪問(wèn) .......................................................... 45
2.1.6 容器資源發(fā)現(xiàn) .................................................................................. 45
2.2 針對(duì) Kubernetes 的攻防知識(shí)庫(kù) .................................................................. 46
2.2.1 通過(guò)漏洞實(shí)現(xiàn)對(duì) Kubernetes 的初始訪問(wèn) ...................................... 47
2.2.2 執(zhí)行惡意代碼 .................................................................................. 48
2.2.3 持久化訪問(wèn)權(quán)限 .............................................................................. 48
2.2.4 獲取更高訪問(wèn)權(quán)限 .......................................................................... 49
2.2.5 隱藏蹤跡繞過(guò)檢測(cè) .......................................................................... 50
2.2.6 獲取各類憑證 .................................................................................. 51
2.2.7 發(fā)現(xiàn)環(huán)境中的有用資源 .................................................................. 52
2.2.8 在環(huán)境中橫向移動(dòng) .......................................................................... 53
2.2.9 給容器化環(huán)境造成危害 .................................................................. 54
2.3 針對(duì)內(nèi)部威脅的 TTPs 攻防知識(shí)庫(kù) ............................................................ 55
2.3.1 內(nèi)部威脅 TTPs 知識(shí)庫(kù)的研究范圍 ............................................... 56
2.3.2 與 ATT＆CK 矩陣的關(guān)系 ................................................................ 57
2.3.3 內(nèi)部威脅者常用策略 ...................................................................... 58
2.3.4 針對(duì)內(nèi)部威脅的防御措施 .............................................................. 60
2.4 針對(duì)網(wǎng)絡(luò)安全對(duì)策的知識(shí)圖譜 MITRE D3FEND ..................................... 60
2.4.1 建立 D3FEND 的原因 ..................................................................... 61
2.4.2 構(gòu)建 MITRE D3FEND 的方法論 ................................................... 61
2.5 針對(duì)軟件供應(yīng)鏈的 ATT＆CK 框架 OSC＆R .............................................. 67
第二部分 ATT＆CK 提高篇
第 3 章十大攻擊組織/惡意軟件的分析與檢測(cè) ...................................... 72
3.1 TA551 攻擊行為的分析與檢測(cè) .................................................................. 73
3.2 漏洞利用工具 Cobalt Strike 的分析與檢測(cè) ............................................... 75
3.3 銀行木馬 Qbot 的分析與檢測(cè) .................................................................... 77
3.4 銀行木馬 lcedlD 的分析與檢測(cè) .................................................................. 78
3.5 憑證轉(zhuǎn)儲(chǔ)工具 Mimikatz 的分析與檢測(cè) ..................................................... 80
3.6 惡意軟件 Shlayer 的分析與檢測(cè) ................................................................ 82
3.7 銀行木馬 Dridex 的分析與檢測(cè) ................................................................. 83
3.8 銀行木馬 Emotet 的分析與檢測(cè) ................................................................. 85
3.9 銀行木馬 TrickBot 的分析與檢測(cè) .............................................................. 86
3.10 蠕蟲病毒 Gamarue 的分析與檢測(cè) ............................................................ 87
第 4 章十大高頻攻擊技術(shù)的分析與檢測(cè) ............................................. 89
4.1 命令和腳本解析器（T1059）的分析與檢測(cè) ............................................ 90
4.1.1 PowerShell（T1059.001）的分析與檢測(cè) ...................................... 90
4.1.2 Windows Cmd Shell（T1059.003）的分析與檢測(cè) ........................ 92
4.2 利用已簽名二進(jìn)制文件代理執(zhí)行（T1218）的分析與檢測(cè) .................... 94
4.2.1 Rundll32（T1218.011）的分析與檢測(cè) .......................................... 94
4.2.2 Mshta（T1218.005）的分析與檢測(cè) ............................................... 98
4.3 創(chuàng)建或修改系統(tǒng)進(jìn)程（T1543）的分析與檢測(cè) ...................................... 102
4.4 計(jì)劃任務(wù)/作業(yè)（T1053）的分析與檢測(cè) ................................................. 105
4.5 OS 憑證轉(zhuǎn)儲(chǔ)（T1003）的分析與檢測(cè) .................................................... 108
4.6 進(jìn)程注入（T1055）的分析與檢測(cè) .......................................................... 111
4.7 混淆文件或信息（T1027）的分析與檢測(cè) .............................................. 114
4.8 入口工具轉(zhuǎn)移（T1105）的分析與檢測(cè) .................................................. 117
4.9 系統(tǒng)服務(wù)（T1569）的分析與檢測(cè) .......................................................... 119
4.10 偽裝（T1036）的分析與檢測(cè) ................................................................ 121
第 5 章紅隊(duì)視角：典型攻擊技術(shù)的復(fù)現(xiàn) ........................................... 123
5.1 基于本地賬戶的初始訪問(wèn) ........................................................................ 124
5.2 基于 WMI 執(zhí)行攻擊技術(shù) ......................................................................... 125
5.3 基于瀏覽器插件實(shí)現(xiàn)持久化 .................................................................... 126
5.4 基于進(jìn)程注入實(shí)現(xiàn)提權(quán) ............................................................................ 128
5.5 基于 Rootkit 實(shí)現(xiàn)防御繞過(guò) ...................................................................... 129
5.6 基于暴力破解獲得憑證訪問(wèn)權(quán)限 ............................................................ 130
5.7 基于操作系統(tǒng)程序發(fā)現(xiàn)系統(tǒng)服務(wù) ............................................................ 132
5.8 基于 SMB 實(shí)現(xiàn)橫向移動(dòng) .......................................................................... 133
5.9 自動(dòng)化收集內(nèi)網(wǎng)數(shù)據(jù) ................................................................................ 135
5.10 通過(guò)命令與控制通道傳遞攻擊載荷 ...................................................... 136
5.11 成功竊取數(shù)據(jù) .......................................................................................... 137
5.12 通過(guò)停止服務(wù)造成危害 .......................................................................... 138
第 6 章藍(lán)隊(duì)視角：攻擊技術(shù)的檢測(cè)示例 ........................................... 139
6.1 執(zhí)行：T1059 命令和腳本解釋器的檢測(cè) ................................................. 140
6.2 持久化：T1543.003 創(chuàng)建或修改系統(tǒng)