ATT&CK框架實踐指南（第2版）

定　價：￥160.00

作　者：	張福等
出版社：	電子工業(yè)出版社
叢編項：
標　簽：	暫缺

購買這本書可以去

當當網 (￥120.00)

ISBN：	9787121453182	出版時間：	2023-07-01	包裝：	平塑勒
開本：		頁數：		字數：

內容簡介

　　本書由淺入深，從原理到實踐，從攻到防，循序漸進地介紹了備受信息安全行業(yè)青睞的ATT＆CK 框架，旨在幫助相關企業(yè)更好地將 ATT＆CK 框架用于安全防御能力建設。全書分為5 部分，共 17 章，詳細介紹了 ATT＆CK 框架的整體架構，如何利用 ATT＆CK 框架檢測一些常見的攻擊組織、惡意軟件和高頻攻擊技術，以及 ATT＆CK 在實踐中的落地應用，最后介紹了MITRE ATT＆CK 相關的生態(tài)項目，包括 MITRE Engage 以及 ATT＆CK 測評。本書適合網絡安全從業(yè)人員（包括 CISO、CSO、藍隊人員、紅隊人員等）、網絡安全研究人員等閱讀，也可供網絡空間安全、信息安全等專業(yè)教學、科研、應用人員參考。

作者簡介

　　張福，青藤云安全聯(lián)合創(chuàng)始人＆CEO，畢業(yè)于同濟大學，專注于前沿技術研究，在安全攻防領域有超過15年的探索和實踐，曾先后在國內多家知名互聯(lián)網企業(yè)，如第九城市、盛大網絡、昆侖萬維，擔任技術和業(yè)務安全負責人。目前，張福擁有10余項自主知識產權發(fā)明專利、30余項軟件著作權，曾榮獲“改革開放40年網絡安全領軍人物”“ 中關村高端領軍人才”“中關村創(chuàng)業(yè)之星”等稱號。程度，青藤云安全聯(lián)合創(chuàng)始人＆COO，畢業(yè)于首都師范大學，擅長網絡攻防安全技術研究和大數據算法研究，在云計算安全、機器學習領域有很高的學術造詣，參與多項云安全標準制定和標準審核工作，現兼任《信息安全研究》《信息網絡安全》編委，曾發(fā)表多篇論文，并被國內核心期刊收錄，曾獲“OSCAR尖峰開源技術杰出貢獻獎”。胡俊，青藤云安全聯(lián)合創(chuàng)始人＆產品副總裁，畢業(yè)于華中科技大學，中國信息通信研究院可信云專家組成員，入選武漢東湖高新技術開發(fā)區(qū)第十一批“3551光谷人才計劃"，曾在百納信息主導了多款工具應用、海豚瀏覽器云服務的開發(fā)。青藤云安全創(chuàng)立后，主導開發(fā)“青藤萬相·主機自適應安全平臺”“ 青藤蜂巢·云原生安全平臺”等產品，獲得發(fā)明專利10余項，是國家級安全產品專家，曾發(fā)表多篇論文，并被中文核心期刊收錄。

圖書目錄

第一部分 ATT＆CK 入門篇
第 1 章潛心開始 MITRE ATT＆CK 之旅 ............................................ 2
1.1 MITRE ATT＆CK 是什么 .............................................................................. 3
1.1.1 MITRE ATT＆CK 框架概述 .............................................................. 4
1.1.2 ATT＆CK 框架背后的安全哲學 ....................................................... 9
1.1.3 ATT＆CK 框架與 Kill Chain 模型的對比 ...................................... 11
1.1.4 ATT＆CK 框架與痛苦金字塔模型的關系 ..................................... 13
1.2 ATT＆CK 框架七大對象 ............................................................................. 13
1.3 ATT＆CK 框架實例說明 ............................................................................. 21
1.3.1 ATT＆CK 戰(zhàn)術實例 ......................................................................... 21
1.3.2 ATT＆CK 技術實例 ......................................................................... 34
1.3.3 ATT＆CK 子技術實例 ..................................................................... 37
第 2 章基于 ATT＆CK 框架的擴展知識庫 .......................................... 41
2.1 針對容器的 ATT＆CK 攻防知識庫 ............................................................ 42
2.1.1 執(zhí)行命令行或進程 .......................................................................... 43
2.1.2 植入惡意鏡像實現持久化 .............................................................. 44
2.1.3 通過容器逃逸實現權限提升 .......................................................... 44
2.1.4 繞過或禁用防御機制 ...................................................................... 44
2.1.5 基于容器 API 獲取權限訪問 .......................................................... 45
2.1.6 容器資源發(fā)現 .................................................................................. 45
2.2 針對 Kubernetes 的攻防知識庫 .................................................................. 46
2.2.1 通過漏洞實現對 Kubernetes 的初始訪問 ...................................... 47
2.2.2 執(zhí)行惡意代碼 .................................................................................. 48
2.2.3 持久化訪問權限 .............................................................................. 48
2.2.4 獲取更高訪問權限 .......................................................................... 49
2.2.5 隱藏蹤跡繞過檢測 .......................................................................... 50
2.2.6 獲取各類憑證 .................................................................................. 51
2.2.7 發(fā)現環(huán)境中的有用資源 .................................................................. 52
2.2.8 在環(huán)境中橫向移動 .......................................................................... 53
2.2.9 給容器化環(huán)境造成危害 .................................................................. 54
2.3 針對內部威脅的 TTPs 攻防知識庫 ............................................................ 55
2.3.1 內部威脅 TTPs 知識庫的研究范圍 ............................................... 56
2.3.2 與 ATT＆CK 矩陣的關系 ................................................................ 57
2.3.3 內部威脅者常用策略 ...................................................................... 58
2.3.4 針對內部威脅的防御措施 .............................................................. 60
2.4 針對網絡安全對策的知識圖譜 MITRE D3FEND ..................................... 60
2.4.1 建立 D3FEND 的原因 ..................................................................... 61
2.4.2 構建 MITRE D3FEND 的方法論 ................................................... 61
2.5 針對軟件供應鏈的 ATT＆CK 框架 OSC＆R .............................................. 67
第二部分 ATT＆CK 提高篇
第 3 章十大攻擊組織/惡意軟件的分析與檢測 ...................................... 72
3.1 TA551 攻擊行為的分析與檢測 .................................................................. 73
3.2 漏洞利用工具 Cobalt Strike 的分析與檢測 ............................................... 75
3.3 銀行木馬 Qbot 的分析與檢測 .................................................................... 77
3.4 銀行木馬 lcedlD 的分析與檢測 .................................................................. 78
3.5 憑證轉儲工具 Mimikatz 的分析與檢測 ..................................................... 80
3.6 惡意軟件 Shlayer 的分析與檢測 ................................................................ 82
3.7 銀行木馬 Dridex 的分析與檢測 ................................................................. 83
3.8 銀行木馬 Emotet 的分析與檢測 ................................................................. 85
3.9 銀行木馬 TrickBot 的分析與檢測 .............................................................. 86
3.10 蠕蟲病毒 Gamarue 的分析與檢測 ............................................................ 87
第 4 章十大高頻攻擊技術的分析與檢測 ............................................. 89
4.1 命令和腳本解析器（T1059）的分析與檢測 ............................................ 90
4.1.1 PowerShell（T1059.001）的分析與檢測 ...................................... 90
4.1.2 Windows Cmd Shell（T1059.003）的分析與檢測 ........................ 92
4.2 利用已簽名二進制文件代理執(zhí)行（T1218）的分析與檢測 .................... 94
4.2.1 Rundll32（T1218.011）的分析與檢測 .......................................... 94
4.2.2 Mshta（T1218.005）的分析與檢測 ............................................... 98
4.3 創(chuàng)建或修改系統(tǒng)進程（T1543）的分析與檢測 ...................................... 102
4.4 計劃任務/作業(yè)（T1053）的分析與檢測 ................................................. 105
4.5 OS 憑證轉儲（T1003）的分析與檢測 .................................................... 108
4.6 進程注入（T1055）的分析與檢測 .......................................................... 111
4.7 混淆文件或信息（T1027）的分析與檢測 .............................................. 114
4.8 入口工具轉移（T1105）的分析與檢測 .................................................. 117
4.9 系統(tǒng)服務（T1569）的分析與檢測 .......................................................... 119
4.10 偽裝（T1036）的分析與檢測 ................................................................ 121
第 5 章紅隊視角：典型攻擊技術的復現 ........................................... 123
5.1 基于本地賬戶的初始訪問 ........................................................................ 124
5.2 基于 WMI 執(zhí)行攻擊技術 ......................................................................... 125
5.3 基于瀏覽器插件實現持久化 .................................................................... 126
5.4 基于進程注入實現提權 ............................................................................ 128
5.5 基于 Rootkit 實現防御繞過 ...................................................................... 129
5.6 基于暴力破解獲得憑證訪問權限 ............................................................ 130
5.7 基于操作系統(tǒng)程序發(fā)現系統(tǒng)服務 ............................................................ 132
5.8 基于 SMB 實現橫向移動 .......................................................................... 133
5.9 自動化收集內網數據 ................................................................................ 135
5.10 通過命令與控制通道傳遞攻擊載荷 ...................................................... 136
5.11 成功竊取數據 .......................................................................................... 137
5.12 通過停止服務造成危害 .......................................................................... 138
第 6 章藍隊視角：攻擊技術的檢測示例 ........................................... 139
6.1 執(zhí)行：T1059 命令和腳本解釋器的檢測 ................................................. 140
6.2 持久化：T1543.003 創(chuàng)建或修改系統(tǒng)