本书由浅入深，从原理到实践，从攻到防，循序渐进地介绍了备受信息安全行业青睐的ATT＆CK 框架，旨在帮助相关企业更好地将 ATT＆CK 框架用于安全防御能力建设。全书分为5 部分，共 17 章，详细介绍了 ATT＆CK 框架的整体架构，如何利用 ATT＆CK 框架检测一些常见的攻击组织、恶意软件和高频攻击技术，以及 ATT＆CK 在实践中的落地应用，最后介绍了MITRE ATT＆CK 相关的生态项目，包括 MITRE Engage 以及 ATT＆CK 测评。本书适合网络安全从业人员（包括 CISO、CSO、蓝队人员、红队人员等）、网络安全研究人员等阅读，也可供网络空间安全、信息安全等专业教学、科研、应用人员参考。

张福，青藤云安全联合创始人＆CEO,毕业于同济大学，专注于前沿技术研究，在安全攻防领域有超过15年的探索和实践，曾先后在国内多家知名互联网企业，如第九城市、盛大网络、昆仑万维，担任技术和业务安全负责人。目前，张福拥有10余项自主知识产权发明专利、30余项软件著作权，曾荣获“改革开放40年网络安全领军人物”“ 中关村高端领军人才”“中关村创业之星”等称号。程度，青藤云安全联合创始人＆COO，毕业于首都师范大学，擅长网络攻防安全技术研究和大数据算法研究，在云计算安全、机器学习领域有很高的学术造诣，参与多项云安全标准制定和标准审核工作，现兼任《信息安全研究》《信息网络安全》编委，曾发表多篇论文，并被国内核心期刊收录，曾获“OSCAR尖峰开源技术杰出贡献奖”。胡俊，青藤云安全联合创始人＆产品副总裁，毕业于华中科技大学，中国信息通信研究院可信云专家组成员，入选武汉东湖高新技术开发区第十一批“3551光谷人才计划"，曾在百纳信息主导了多款工具应用、海豚浏览器云服务的开发。青藤云安全创立后，主导开发“青藤万相·主机自适应安全平台”“ 青藤蜂巢·云原生安全平台”等产品，获得发明专利10余项，是国家级安全产品专家，曾发表多篇论文，并被中文核心期刊收录。

第一部分 ATT＆CK 入门篇
第 1 章 潜心开始 MITRE ATT＆CK 之旅 ............................................ 2
1.1 MITRE ATT＆CK 是什么 .............................................................................. 3
1.1.1 MITRE ATT＆CK 框架概述 .............................................................. 4
1.1.2 ATT＆CK 框架背后的安全哲学 ....................................................... 9
1.1.3 ATT＆CK 框架与 Kill Chain 模型的对比 ...................................... 11
1.1.4 ATT＆CK 框架与痛苦金字塔模型的关系 ..................................... 13
1.2 ATT＆CK 框架七大对象 ............................................................................. 13
1.3 ATT＆CK 框架实例说明 ............................................................................. 21
1.3.1 ATT＆CK 战术实例 ......................................................................... 21
1.3.2 ATT＆CK 技术实例 ......................................................................... 34
1.3.3 ATT＆CK 子技术实例 ..................................................................... 37
第 2 章 基于 ATT＆CK 框架的扩展知识库 .......................................... 41
2.1 针对容器的 ATT＆CK 攻防知识库 ............................................................ 42
2.1.1 执行命令行或进程 .......................................................................... 43
2.1.2 植入恶意镜像实现持久化 .............................................................. 44
2.1.3 通过容器逃逸实现权限提升 .......................................................... 44
2.1.4 绕过或禁用防御机制 ...................................................................... 44
2.1.5 基于容器 API 获取权限访问 .......................................................... 45
2.1.6 容器资源发现 .................................................................................. 45
2.2 针对 Kubernetes 的攻防知识库 .................................................................. 46
2.2.1 通过漏洞实现对 Kubernetes 的初始访问 ...................................... 47
2.2.2 执行恶意代码 .................................................................................. 48
2.2.3 持久化访问权限 .............................................................................. 48
2.2.4 获取更高访问权限 .......................................................................... 49
2.2.5 隐藏踪迹绕过检测 .......................................................................... 50
2.2.6 获取各类凭证 .................................................................................. 51
2.2.7 发现环境中的有用资源 .................................................................. 52
2.2.8 在环境中横向移动 .......................................................................... 53
2.2.9 给容器化环境造成危害 .................................................................. 54
2.3 针对内部威胁的 TTPs 攻防知识库 ............................................................ 55
2.3.1 内部威胁 TTPs 知识库的研究范围 ............................................... 56
2.3.2 与 ATT＆CK 矩阵的关系 ................................................................ 57
2.3.3 内部威胁者常用策略 ...................................................................... 58
2.3.4 针对内部威胁的防御措施 .............................................................. 60
2.4 针对网络安全对策的知识图谱 MITRE D3FEND ..................................... 60
2.4.1 建立 D3FEND 的原因 ..................................................................... 61
2.4.2 构建 MITRE D3FEND 的方法论 ................................................... 61
2.5 针对软件供应链的 ATT＆CK 框架 OSC＆R .............................................. 67
第二部分 ATT＆CK 提高篇
第 3 章 十大攻击组织/恶意软件的分析与检测 ...................................... 72
3.1 TA551 攻击行为的分析与检测 .................................................................. 73
3.2 漏洞利用工具 Cobalt Strike 的分析与检测 ............................................... 75
3.3 银行木马 Qbot 的分析与检测 .................................................................... 77
3.4 银行木马 lcedlD 的分析与检测 .................................................................. 78
3.5 凭证转储工具 Mimikatz 的分析与检测 ..................................................... 80
3.6 恶意软件 Shlayer 的分析与检测 ................................................................ 82
3.7 银行木马 Dridex 的分析与检测 ................................................................. 83
3.8 银行木马 Emotet 的分析与检测 ................................................................. 85
3.9 银行木马 TrickBot 的分析与检测 .............................................................. 86
3.10 蠕虫病毒 Gamarue 的分析与检测 ............................................................ 87
第 4 章 十大高频攻击技术的分析与检测 ............................................. 89
4.1 命令和脚本解析器（T1059）的分析与检测 ............................................ 90
4.1.1 PowerShell（T1059.001）的分析与检测 ...................................... 90
4.1.2 Windows Cmd Shell（T1059.003）的分析与检测 ........................ 92
4.2 利用已签名二进制文件代理执行（T1218）的分析与检测 .................... 94
4.2.1 Rundll32（T1218.011）的分析与检测 .......................................... 94
4.2.2 Mshta（T1218.005）的分析与检测 ............................................... 98
4.3 创建或修改系统进程（T1543）的分析与检测 ...................................... 102
4.4 计划任务/作业（T1053）的分析与检测 ................................................. 105
4.5 OS 凭证转储（T1003）的分析与检测 .................................................... 108
4.6 进程注入（T1055）的分析与检测 .......................................................... 111
4.7 混淆文件或信息（T1027）的分析与检测 .............................................. 114
4.8 入口工具转移（T1105）的分析与检测 .................................................. 117
4.9 系统服务（T1569）的分析与检测 .......................................................... 119
4.10 伪装（T1036）的分析与检测 ................................................................ 121
第 5 章 红队视角：典型攻击技术的复现 ........................................... 123
5.1 基于本地账户的初始访问 ........................................................................ 124
5.2 基于 WMI 执行攻击技术 ......................................................................... 125
5.3 基于浏览器插件实现持久化 .................................................................... 126
5.4 基于进程注入实现提权 ............................................................................ 128
5.5 基于 Rootkit 实现防御绕过 ...................................................................... 129
5.6 基于暴力破解获得凭证访问权限 ............................................................ 130
5.7 基于操作系统程序发现系统服务 ............................................................ 132
5.8 基于 SMB 实现横向移动 .......................................................................... 133
5.9 自动化收集内网数据 ................................................................................ 135
5.10 通过命令与控制通道传递攻击载荷 ...................................................... 136
5.11 成功窃取数据 .......................................................................................... 137
5.12 通过停止服务造成危害 .......................................................................... 138
第 6 章 蓝队视角：攻击技术的检测示例 ........................................... 139
6.1 执行：T1059 命令和脚本解释器的检测 ................................................. 140
6.2 持久化：T1543.003 创建或修改系统进程（Windows 服务）的检测 .. 141
6.3 权限提升：T1546.015 组件对象模型劫持的检测 .................................. 143
6.4 防御绕过：T1055.001 DLL 注入的检测 ................................................. 144
6.5 凭证访问：T1552.002 注册表中的凭证的检测 ...................................... 146
6.6 发现：T1069.002 域用户组的检测 .......................................................... 147
6.7 横向移动：T1550.002 哈希传递攻击的检测 .......................................... 148
6.8 收集：T1560.001 通过程序压缩的检测 .................................................. 149
第 7 章 不同形式的攻击模拟 .......................................................... 150
7.1 基于红蓝对抗的全流程攻击模拟 ............................................................ 151
7.1.1 模拟攻击背景 ................................................................................ 152
7.1.2 模拟攻击流程 ................................................................................ 153
7.2 微模拟攻击的概述与应用 ........................................................................ 162
7.2.1 微模拟攻击计划概述 .................................................................... 163
7.2.2 微模拟攻击的应用 ........................................................................ 164
第三部分 ATT＆CK 场景与工具篇
第 8 章 ATT＆CK 应用工具与应用项目 ........................................... 176
8.1 ATT＆CK 四个关键项目工具 ................................................................... 177
8.1.1 Navigator 项目 ............................................................................... 177
8.1.2 CARET 项目 .................................................................................. 180
8.1.3 TRAM 项目 ................................................................................... 181
8.1.4 Workbench 项目 ............................................................................. 182
8.2 ATT＆CK 实践应用项目 ........................................................................... 186
8.2.1 红队使用项目 ................................................................................ 186
8.2.2 蓝队使用项目 ................................................................................ 188
8.2.3 CTI 团队使用 ................................................................................ 190
8.2.4 CSO 使用项目 ............................................................................... 195
第 9 章 ATT＆CK 四大实践场景 .................................................... 197
9.1 ATT＆CK 的四大使用场景 ....................................................................... 200
9.1.1 威胁情报 ........................................................................................ 200
9.1.2 检测分析 ........................................................................................ 203
9.1.3 模拟攻击 ........................................................................................ 205
9.1.4 评估改进 ........................................................................................ 208
9.2 ATT＆CK 实践的常见误区 ....................................................................... 213
第四部分 ATT＆CK 运营实战篇
第 10 章 数据源是应用 ATT＆CK 的前提 ......................................... 218
10.1 当前 ATT＆CK 数据源急需解决的问题 ................................................ 219
10.1.1 定义数据源 .................................................................................. 220
10.1.2 标准化命名语法 .......................................................................... 220
10.1.3 确保平台一致性 .......................................................................... 222
10.2 改善 ATT＆CK 数据源的使用情况 ........................................................ 224
10.2.1 利用数据建模 .............................................................................. 225
10.2.2 通过数据元素定义数据源 .......................................................... 226
10.2.3 整合数据建模和攻击者建模 ...................................................... 226
10.2.4 扩展 ATT＆CK 数据源对象 ........................................................ 227
10.2.5 使用数据组件扩展数据源 .......................................................... 228
10.3 ATT＆CK 数据源的标准化定义与运用示例 ......................................... 230
10.3.1 改进进程监控 .............................................................................. 231
10.3.2 改进 Windows 事件日志 ............................................................. 236
10.3.3 子技术用例 .................................................................................. 239
10.4 数据源在安全运营中的运用 .................................................................. 241
第 11 章 MITRE ATT＆CK 映射实践.............................................. 244
11.1 将事件报告映射到 MITRE ATT＆CK .................................................... 245
11.2 将原始数据映射到 MITRE ATT＆CK .................................................... 249
11.3 映射到 MITRE ATT＆CK 时的常见错误与偏差 ................................... 251
11.4 通过 MITRE ATT＆CK 编写事件报告 ................................................... 254
11.5 ATT＆CK for ICS 的映射建议 ................................................................ 257
第 12 章 基于 ATT＆CK 的安全运营 ............................................... 260
12.1 基于 ATT＆CK 的运营流程 .................................................................... 262
12.1.1 知己：分析现有数据源缺口 ...................................................... 262
12.1.2 知彼：收集网络威胁情报 .......................................................... 263
12.1.3 实践：分析测试 .......................................................................... 264
12.2 基于 ATT＆CK 的运营评估 .................................................................... 267
12.2.1 将 ATT＆CK 应用于 SOC 的步骤 .............................................. 267
12.2.2 将 ATT＆CK 应用于 SOC 的技巧 .............................................. 271
第 13 章 基于 ATT＆CK 的威胁狩猎 ............................................... 274
13.1 ATT＆CK 让狩猎过程透明化 ................................................................. 277
13.2 基于 TTPs 的威胁狩猎 ........................................................................... 280
13.2.1 检测方法和数据类型分析 .......................................................... 281
13.2.2 威胁狩猎的方法实践 .................................................................. 283
13.3 基于重点战术的威胁狩猎 ...................................................................... 302
13.3.1 内部侦察的威胁狩猎 .................................................................. 303
13.3.2 持久化的威胁狩猎 ...................................................................... 305
13.3.3 横向移动的威胁狩猎 .................................................................. 311
第 14 章 多行业的威胁狩猎实战 ..................................................... 316
14.1 金融行业的威胁狩猎 .............................................................................. 317
14.2 企业机构的威胁狩猎 .............................................................................. 324
第五部分 ATT＆CK 生态篇
第 15 章 攻击行为序列数据模型 Attack Flow .................................. 332
15.1 Attack Flow 的组成要素 ......................................................................... 333
15.2 Attack Flow 用例 ..................................................................................... 333
15.3 Attack Flow 的使用方法 ......................................................................... 335
第 16 章 主动作战框架 MITRE Engage ......................................... 341
16.1 MITRE Engage 介绍 ................................................................................ 342
16.1.1 详解 MITRE Engage 矩阵结构 ................................................... 342
16.1.2 MITRE Engage 与 MITRE ATT＆CK 的映射关系 ..................... 344
16.1.3 Engage 与传统网络阻断、网络欺骗间的关系 ......................... 344
16.2 MITRE Engage 矩阵入门实践 ................................................................ 346
16.2.1 如何将 Engage 矩阵整合到企业网络战略中来 ........................ 346
16.2.2 Engage 实践的四要素 ................................................................. 346
16.2.3 Engage 实践落地流程：收集、分析、确认、实施 ................. 347
16.2.4 对抗作战实施：10 步流程法 ..................................................... 348
第 17 章 ATT＆CK 测评 ............................................................... 352
17.1 测评方法 .................................................................................................. 353
17.2 测评流程 .................................................................................................. 355
17.3 测评内容 .................................................................................................. 357
17.3.1 ATT＆CK for Enterprise 测评 ...................................................... 358
17.3.2 ATT＆CK for ICS 测评 ................................................................ 361
17.3.3 托管服务测评 .............................................................................. 364
17.3.4 欺骗类测评 .................................................................................. 367
17.4 测评结果 .................................................................................................. 369
17.5 总结 .......................................................................................................... 372
附录 A ATT＆CK 战术及场景实践 .................................................. 374
附录 B ATT＆CK 版本更新情况 ..................................................... 395