√ 全方位介紹ATT&CK在威脅情報、檢測分析、模擬攻擊、評估改進等方面的工具與應用，給出有效防御措施建議。

√ 本書體繫框架來源於長期攻防對抗、攻擊溯源、攻擊手法分析的實戰過程，實用性強、可落地、說得清、道得明。

√ 攻擊視角下的戰術與技術知識庫，幫助企業開發、組織和使用基於威脅信息的防御策略及評估網絡防御能力差距。

√ 構建較細粒度的攻擊行為模型和更易共享的抽像框架，可用於攻擊與防御能力評估、APT情報分析及攻防演練等。

《ATT＆CK框架實踐指南》對備受信息安全行業青睞的ATT&CK框架進行了詳細的介紹，並通過豐富的實踐案例幫助讀者了解ATT&CK框架，更好地將ATT&CK框架用於提高企業的安全防御能力建設。

《ATT＆CK框架實踐指南》由淺入深，從原理到實踐，從攻到防，循序漸進地介紹了ATT&CK框架。全書分為4部分共13個章節，詳細介紹了ATT&CK框架的整體架構，如何利用ATT&CK框架檢測一些常見的攻擊組織、惡意軟件和高頻攻擊技術，以及ATT&CK在實踐中的落地應用，最後介紹了MITRE ATT&CK相關的生態項目，包括MITRE Shield以及ATT&CK測評。

《ATT＆CK框架實踐指南》適合網絡安全從業人員（包括CISO、CSO、藍隊人員、紅隊人員等）、網絡安全研究人員等閱讀，也可供網絡空間安全、信息安全等專業教學、科研、應用人員參考閱讀。

張福

青籐雲安全創始人&CEO。畢業於同濟大學，專注於前沿技術研究，在安全攻防領域有超過 15 年的探索和實踐。曾先後在國內多家知名互聯網企業，如第九城市、盛大網絡、昆侖萬維，擔任技術和業務安全負責人。目前，張福擁有 10 餘項自主知識產權發明專利，30 餘項軟件著作權。曾榮獲“改革開放 40 年網絡安全領軍人物”“中關村高端領軍人纔”“中關村創業之星”等稱號。

程度

青籐雲安全聯合創始人&COO，畢業於首都師範大學，擅長網絡攻防安全技術研究和大數據算法研究，在雲計算安全、機器學習領域有很高的學術造詣，參與多項雲安全標準制定和標準審核工作，現兼任《信息安全研究》《信息網絡安全》編委，曾發表多篇論文，並被國內核心期刊收錄，曾獲“OSCAR尖峰開源技術傑出貢獻獎”。

胡俊

青籐雲安全聯合創始人&產品副總裁，畢業於華中科技大學，中國信息通信研究院可信雲專家組成員，入選武漢東湖高新技術開發區第十一批“3551光谷人纔計劃”，曾在百納信息主導了多款工具應用、海豚瀏覽器雲服務的開發。青籐雲安全創立後，主導開發“青籐萬相·主機自適應安全平臺”“青籐蜂巢·雲原生安全平臺”等產品，獲得發明專利10餘項，是公認的安全產品專家，曾發表多篇論文，並被中文核心期刊收錄。

隨著互聯網安全形勢日益嚴峻，網絡安全已上升為國家戰略，其重要性也日益提升。對此，網絡安全從業者承擔的責任和壓力與日俱增，不僅要腳踏實地確保現有網絡繫統的正常運行，更要關注前沿技術的研究與創新，應對未來可能的網絡安全風險。本書是國內首度聚焦ATT&CK框架的讀物，希望它能對網絡安全從業者進一步了解、認識、使用ATT&CK框架提供幫助。

李新友

國家信息中心首席工程師

《信息安全研究》社長

ATT&CK框架來源於實戰，是安全從業者們在長期攻防對抗、攻擊溯源、攻擊手法分析的過程中，提煉總結形成的實用性強、可落地、說得清、道得明的體繫框架。ATT&CK提供了一套多個組織機構和企業迫切需要的共識標準、共享情報、同語境溝通、操作性強等安全防御的方法論和實戰場景。同時，它的出現也給了安全從業者一把尺子，可以用統一的標準去衡量網絡經營主體的防御效果和發現威脅的能力，這種實用性防御方法和體繫框架非常值得網絡安全業內的專業人士深入研究與實踐。本書作為青籐雲安全多年的研究成果，由淺入深地對ATT&CK技術和框架從入門篇到提高篇，從實踐篇到生態篇，結合附錄的戰術及場景實踐，詳細介紹了攻擊事件復現、利用ATT&CK框架提升企業安全防護手段等技術，非常值得安全從業者深入研讀。特此推薦。

李京春

國家信息技術安全研究中心原總工程師

中國網絡安全審查技術與認證中心首席專家

中央網信辦黨政雲審查專家組副組長

全國信息安全標準化技術委員會（TC260）安全評估組組長

ATT&CK框架作為攻擊視角下的戰術與技術知識庫，不僅能有效幫助企業開發、組織和使用基於威脅信息的防御策略，還為企業評估網絡防御能力差距提供了一個非常有用的工具。青籐雲安全憑借多年的ATT&CK研究與實踐，圍繞多個維度編制本書，為我國網絡安全從業人員更加深入了解、引用ATT&CK框架提供了一把“鑰匙”。

顧健

公安部第三研究所研究員/一級警監

國家網絡與信息繫統安全產品檢驗檢測中心副主任

ATT&CK既是網絡安全攻防對抗的戰術和技術知識庫，也可以是分析一繫列攻擊行為組織屬性的技術基礎，還可以是評估一個組織能力態勢的框架基礎，是近年來發展最快、熱度極高的網絡安全對抗技術框架。青籐雲安全公司作為網絡安全領域技術創新領軍企業的代表，很早就開始研究ATT&CK技術，此次出版的《ATT&CK框架實踐指南》對於ATT&CK初學者入門，或有一定基礎的網絡安全工作者進一步做到“知己知彼”、提升網絡安全防護能力提供了重要參考資料。

嚴寒冰

國家互聯網應急中心處長

MITRE ATT&CK自2015年發布至今，一方面得到業界廣泛的關注和青睞，另一方面迭代更新了十個版本，攻防技戰術知識體繫內容不斷擴展，龐大到難以透徹地學習和掌握。青籐雲安全公司在自身研究與實踐的基礎上編寫了這本書，為業界學習和掌握MITRE ATT&CK框架和體繫，提供了從入門到進階、從實踐到生態的循序漸進的指引，對組織和個人繫統地提升攻防對抗能力也具有十分重要的幫助。

陳鐘

北京大學教授

網絡與信息安全實驗室主任

張福、胡俊、程度三位年輕作者，來自國內網絡安全新銳青籐雲安全，有多年網絡安全一線服務和實戰經驗，對ATT&CK有著豐富經驗、案例和實踐感悟，並願意把自己使用ATT&CK的經驗整理成書，分享給更多網絡安全愛好者，這種分享精神值得學習。本書從ATT&CK框架入門，到核心架構、應用場景、技術復現、對抗實踐、指標評估等多個層面做了深度解析，通過閱讀本書能夠幫助安全運營者、網絡安全服務者，以及安全從業者深入、繫統、全面地了解、認識和使用ATT&CK框架網絡安全實戰模型，不斷提升網絡安全防護體繫及安全運營能力。ATT&CK框架是一種不斷持續更新改進的對抗戰術和技術知識庫，其涵蓋了幾十種攻擊戰術和上百種攻擊技術，這些技術也特別適合網絡安全高年級的學生學習和實踐，對網絡安全人纔培養將大有益處。

封化民

教育部高等學校網絡安全專業教指委秘書長

ATT&CK構建了一套較細粒度的攻擊行為模型和更易共享的抽像框架，可用於攻擊與防御能力評估、APT情報分析及攻防演練等。本書對ATT&CK框架進行深度解析，給出了實例分析，列舉場景實踐項目，利於讀者研習，可供網絡空間安全、信息安全等專業的教學、科研、應用人員參考使用。

羅森林

北京理工大學信息與電子學院教授

隨著企業面臨的網絡空間威脅越來越多、監管合規的要求越來越高，企業在信息安全方面投入越來越多，在基礎體繫建設初見成效後，更加關注企業實戰攻防能力的建設，入侵防御和檢測能力則是其中非常重要的一部分。ATT&CK在這一領域是很有借鋻意義的：一方面ATT&CK可以有效地體繫化衡量入侵防御和檢測能力，進而指引企業在薄弱領域進行提高；另一方面也可以指導藍軍更加全面繫統地開展工作，制定研究路線，不斷提高攻擊能力。本書不僅由淺入深地介紹了ATT&CK框架技術，還從實踐和生態的角度展開論述。對於企業網絡安全建設而言，有著不錯的參考價值。

陳建

平安集團首席安全總監

該指南值得甲方朋友研讀。本書提供了一個建立完整安全防御體繫的全局視角，不僅有經過精心提煉的方法論，還有具體的戰術、知識庫、開源工具、生態項目和數據集的構建及分析方法，難能可貴的是以上內容在線上都是免費開源且保持更新的，如已發布容器和K8S的攻防矩陣，而這一切又都是從攻擊視角經過實踐檢驗的經驗沉澱，可以幫助甲方有效評估自身的安全建設成熟度及查漏補缺。

伏明明

中通快遞信息安全負責人

在整個安全行業，鮮有集實戰應用與理論指導於一身的ATT&CK框架相關圖書，本書的出現很好地填補了這一空白：該書由淺入深地向讀者介紹了ATT&CK框架體繫及其在戰略戰術上的指導意義，其第二部分第六、第七章關於紅隊視角及藍隊視角尤為精彩，攻防切換，視角互轉，能夠真切地感受到紅藍對抗及“軍備”升級的過程中散發出的無聲的硝煙。除此之外，還有關於APT組織常用的惡意軟件分析及高頻攻擊手法分析，基於安全運營場景如何有效應用ATT&CK框架，基於SOC進行藍軍視角的實戰堪稱經典。對於閱讀這本書的安全從業者來講，可謂是一場饕餮盛宴，對於初入行業和有志於從事安全行業的讀者，在構建及完善自我知識框架體繫方面會給予極大地幫助。

袁明坤

杭州安恆信息技術股份有限公司高級副總裁

ATT&CK自面世伊始就引起了業界的關注，目前仍在不斷演進和完善中。本書深入淺出，介紹了ATT&CK的背景與框架，從實戰入手，給出了基於ATT&CK技術的主流攻擊組織、惡意軟件的攻擊手段和相應檢測機制。如果希望了解如何利用ATT&CK技術評估第三方廠商方案的安全能力或提升安全運營和威脅狩獵中的檢測防護效率，本書將是一個很好的選擇。

劉文懋

綠盟科技首席安全專家

第一部分 ATT&CK入門篇

第1章 潛心開始MITRE ATT&CK之旅 2

1.1 MITRE ATT&CK是什麼 3

1.2 ATT&CK框架的對像關繫介紹 14

1.3 ATT&CK框架實例說明 18

第2章 新場景示例：針對容器和Kubernetes的ATT&CK攻防矩陣 38

2.1 針對容器的ATT&CK攻防矩陣 39

2.2 針對Kubernetes的攻防矩陣 42

第3章 數據源：ATT&CK應用實踐的前提 52

3.1 當前ATT&CK數據源利用急需解決的問題 53

3.2 升級ATT&CK數據源的使用情況 59

3.3 ATT&CK數據源的運用示例 65

第二部分 ATT&CK提高篇

第4章 十大攻擊組織和惡意軟件的分析與檢測 78

4.1 TA551攻擊行為的分析與檢測 79

4.2 漏洞利用工具Cobalt Strike的分析與檢測 81

4.3 銀行木馬Qbot的分析與檢測 83

4.4 銀行木馬lcedlD的分析與檢測 84

4.5 憑證轉儲工具Mimikatz的分析與檢測 86

4.6 惡意軟件Shlayer的分析與檢測 88

4.7 銀行木馬Dridex的分析與檢測 89

4.8 銀行木馬Emotet的分析與檢測 91

4.9 銀行木馬TrickBot的分析與檢測 92

4.10 蠕蟲病毒Gamarue的分析與檢測 93

第5章 十大高頻攻擊技術的分析與檢測 95

5.1 命令和腳本解析器（T1059）的分析與檢測 96

5.1.1 PowerShell（T1059.001）的分析與檢測 96

5.1.2 Windows Cmd Shell（T1059.003）的分析與檢測 98

5.2 利用已簽名二進制文件代理執行（T1218）的分析與檢測 100

5.3 創建或修改繫統進程（T1543）的分析與檢測 108

5.4 計劃任務/作業（T1053）的分析與檢測 111

5.5 OS憑證轉儲（T1003）的分析與檢測 114

5.6 進程注入（T1055）的分析與檢測 117

5.7 混淆文件或信息（T1027）的分析與檢測 120

5.8 入口工具轉移（T1105）的分析與檢測 122

5.9 繫統服務（T1569）的分析與檢測 124

5.10 偽裝（T1036）的分析與檢測 126

第6章 紅隊視角：典型攻擊技術的復現 129

6.1 基於本地賬戶的初始訪問 130

6.2 基於WMI執行攻擊技術 131

6.3 基於瀏覽器插件實現持久化 132

6.4 基於進程注入實現提權 134

6.5 基於Rootkit實現防御繞過 135

6.6 基於暴力破解獲得憑證訪問權限 136

6.7 基於操作繫統程序發現繫統服務 138

6.8 基於SMB實現橫向移動 139

6.9 自動化收集內網數據 141

6.10 通過命令與控制通道傳遞攻擊載荷 142

6.11 成功竊取數據 143

6.12 通過停止服務造成危害 144

第7章 藍隊視角：攻擊技術的檢測示例 145

7.1 執行：T1059命令和腳本解釋器的檢測 146

7.2 持久化：T1543.003創建或修改繫統進程（Windows服務）的檢測 147

7.3 權限提升：T1546.015組件對像模型劫持的檢測 149

7.4 防御繞過：T1055.001 DLL注入的檢測 150

7.5 憑證訪問：T1552.002注冊表中的憑證的檢測 152

7.6 發現：T1069.002域用戶組的檢測 153

7.7 橫向移動：T1550.002哈希傳遞攻擊的檢測 154

7.8 收集：T1560.001通過程序壓縮的檢測 155

第三部分 ATT&CK實踐篇

第8章 ATT&CK應用工具與項目 158

8.1 ATT&CK三個關鍵工具 159

8.2 ATT&CK實踐應用項目 164

第9章 ATT&CK場景實踐 175

9.1 ATT&CK的四大使用場景 178

9.2 ATT&CK實踐的常見誤區 190

第10章 基於ATT&CK的安全運營 193

10.1 基於ATT&CK的運營流程 195

10.2 基於ATT&CK的運營實踐 200

10.3 基於ATT&CK的模擬攻擊 206

第11章 基於ATT&CK的威脅狩獵 218

11.1 威脅狩獵的開源項目 219

11.2 ATT&CK與威脅狩獵 224

11.3 威脅狩獵的行業實戰 231

第四部分 ATT&CK生態篇

第12章 MITRE Shield主動防御框架 246

12.1 MITRE Shield背景介紹 247

12.2 MITRE Shield矩陣模型 249

12.3 MITRE Shield與ATT&CK的映射 253

12.4 MITRE Shield使用入門 254

第13章 ATT&CK測評 259

13.1 測評方法 260

13.2 測評流程 262

13.3 測評內容 264

13.4 測評結果 266

附錄A ATT&CK戰術及場景實踐 271

附錄B ATT&CK攻擊與SHIELD防御映射圖 292

自有互聯網以來，網絡安全問題相伴而生，隨著互聯網滲透到經濟社會的方方面面，網絡安全問題也愈演愈烈，危害也越來越大。網絡安全問題從個別網絡精英炫耀個人能力的惡作劇到具有明顯目的的有組織犯罪，甚至成為有政府背景的網絡戰的一種形式。

網絡安全問題的內因是網絡設備的後門和網絡軟件的漏洞以及人為操作失誤，外因是遭遇外部入侵或感染病毒，受影響的程度取決於網絡安全防御能力，或者說是網絡安全對抗的戰術和技術水平，即網絡攻防實力較量的結果。攻防兩方面總是動態博弈，攻防的格局不斷迭代演進，表現出一些特點：首先是攻防的不對稱性，防在明處而攻在暗處，導致攻易防難，網絡安全處於被動應對狀態。其次是攻防格局的不確定性，網絡業務是動態變化的，網絡拓撲也會調整升級，加上攻擊手段不斷翻新，總是未知多於已知。第三，防御效果的不可信性，網絡或業務的所有方對所采取的網絡安全措施的效果缺乏把握，對繫統安全心中無底，甚至不知道從哪些方面做改進，不知道該從何下手來加固網絡安全。

習近平總書記2016年4月19日在網絡安全和信息化工作座談會上的講話指出：“網絡安全具有很強的隱蔽性，一個技術漏洞、安全風險可能隱藏幾年都發現不了，結果是‘誰進來了不知道、是敵是友不知道、干了什麼不知道’，長期‘潛伏’在裡面，一旦有事就發作了。”

“維護網絡安全，首先要知道風險在哪裡，是什麼樣的風險，什麼時候發生風險，正所謂‘聰者聽於無聲，明者見於未形’。感知網絡安全態勢是最基本最基礎的工作。”

要感知網絡風險得從內部和外部兩方面並舉，內部要摸清家底找出漏洞並強化管理，外部要把握網絡入侵的規律、動向與趨勢。盡管攻擊手法出奇、靶點眾多，但網絡攻擊的目的不外乎通過劫持網絡或數據的控制權，致癱網絡和竊取數據等獲取政治和經濟利益。總體上看網絡入侵還是有一定套路可循的，需要利用大數據分析從大量網絡入侵案例中來總結。

ATT&CK（對抗戰術與技術知識庫）從網絡入侵者的角度歸納網絡入侵、攻擊的方法與步驟。開發ATT&CK的目的不是為黑客提供教程，而是知己知彼百戰不殆，通過梳理實現對網絡入侵足跡的留痕，給網絡安全防御以清晰的維度和明確的思路。盡管ATT&CK不可能準確預測新的網絡入侵的目標與路徑，但可以顯著收窄需要重點關注的範圍，大大降低了網絡安全防御措施的盲目性。

《ATT&CK框架實踐指南》的作者團隊長期研究MITRE的ATT&CK技術，通過豐富的實踐加深了對ATT&CK框架的理解，積累了有實戰價值的經驗體會。本書介紹了ATT&CK在威脅情報、檢測分析、模擬攻擊、評估改進等方面的工具與應用，給出了有效的關於防御措施的建議。網絡攻防總是魔高一尺道高一丈，在博弈中升級，ATT&CK來源於實踐案例的總結，也會隨時間而不斷豐富更新，期待本書能起到拋磚引玉的作用，在全球ATT&CK中貢獻中國智慧，更重要的是善於運用ATT&CK的方法來提升我國網絡安全防御能力。

——中國工程院院士 邬賀銓

序言

過去，入侵檢測能力的度量一直是網絡安全領域的一個行業難題，各個企業每年在入侵防護上都投入了不少錢，但是幾乎沒有安全人員能回答CEO的問題：“買了這麼多安全產品，我們的入侵防御和檢測能力到底怎麼樣，能不能防住黑客？”這個問題很難回答，核心原因是缺乏一個明確的、可衡量的、可落地的標準。所以，防守方對於入侵檢測能力的判定通常會陷入不可知和不確定的狀態中，既說不清自己能力的高低，也無法有效彌補自己的短板。

MITRE ATT&CK的出現解決了這個行業難題。它給了我們一把尺子，讓我們可以用統一的標準去衡量自己的防御和檢測能力。ATT&CK並非是一個學院派的理論框架，而是來源於實戰。ATT&CK框架是安全從業者們在長期的攻防對抗、攻擊溯源、攻擊手法分析的過程中，逐漸提煉總結而形成的實用性強、可落地、說得清道得明的體繫框架。這個框架是先進的、充滿生命力的，而且具備非常高的使用價值。

盡管MITRE ATT&CK毫無疑問是近幾年安全領域最熱門的話題之一，大多數安全行業從業者或多或少都聽說過它，但是由於時間、精力、資料有限等原因，能夠深入研究ATT&CK的研究者在國內寥寥無幾。青籐因為公司業務的需要，早在幾年前就開始關注 ATT&CK 的發展，並且從 2018 年開始繫統性地對ATT&CK進行研究。經過三年多的研究、學習和探索，青籐積累了相對比較成熟和繫統化的研究材料，內容涵蓋了從ATT&CK框架的基本介紹、戰術與技術解析，到攻擊技術的復現、分析與檢測，到實際應用與實踐，以及ATT&CK生態的發展。

研究得越多，我們越意識到MITRE ATT&CK可以為行業帶來的貢獻。因此，我們編寫了本書，作為ATT&CK框架的繫統性學習材料，希望讓更多人了解ATT&CK，學習先進的理論體繫，提升防守方的技術水準，加強攻防對抗能力。我們也歡迎大家一起加入到研究中，為這個體繫的完善貢獻一份力量。

——青籐雲安全創始人兼CEO 張福

前言

由MITRE發起的對抗戰術和技術知識庫——ATT&CK始於2015年，其目標是提供一個“基於現實世界觀察的、全球可訪問的對抗戰術和技術知識庫”。ATT&CK一誕生，便迅速風靡信息安全行業。全球各地的許多安全廠商和信息安全團隊都迅速采用了ATT&CK框架。在他們看來，ATT&CK框架是近年來信息安全領域最有用也是最急需的一個框架。ATT&CK框架提供了許多企業過去一直在努力實現的關鍵能力：開發、組織和使用基於威脅信息的防御策略，以便讓合作伙伴、行業、安全廠商能夠以一種標準化的方式進行溝通交流。

本書按照由淺入深的順序分為四部分，第一部分為ATT&CK入門篇，介紹了ATT&CK框架的整體架構，並對當前備受關注的ATT&CK容器矩陣以及在入侵檢測中容易被忽視的數據源問題進行了介紹；第二部分為ATT&CK提高篇，介紹了如何結合ATT&CK框架來檢測一些常見的攻擊組織、惡意軟件和高頻攻擊技術，並分別從紅隊視角和藍隊視角對一些攻擊技術進行了復現和檢測分析；第三部分為ATT&CK實踐篇，介紹了ATT&CK的一些應用工具與項目，以及如何利用這些工具進行實踐（實踐場景包括威脅情報、檢測分析、模擬攻擊、評估改進），改善安全運營，進行威脅狩獵等；第四部分為ATT&CK生態篇，介紹了MITRE的主動防御項目——MITRE Shield（它能夠有效地與MITRE ATT&CK映射起來，對ATT&CK框架中的攻擊技術給出有效的防御措施）以及ATT&CK的另一個應用場景——ATT&CK測評。

在ATT&CK框架出現之前，評估一個組織的安全態勢可能是一件很麻煩的事情。當然，安全團隊可以利用威脅情報來驗證他們可以檢測到哪些特定的攻擊方法，但始終有一個問題縈繞在他們的心頭：“如果我漏掉了某些攻擊，會產生什麼後果？”但如果安全團隊驗證了很多攻擊方法，就很容易產生一種虛假的安全感，並對自己的防御能力過於自信。畢竟，我們很難了解我們並不知道的東西。

幸運的是，ATT&CK框架的目標就是解決這一問題。MITRE公司經過大量的研究和整理工作，建立了ATT&CK框架。ATT&CK框架創建了一個包括所有已知攻擊方法的分類列表，將其與使用這些方法的攻擊組織、實現這些方法的軟件以及遏制其使用的緩解措施和檢測方法結合起來，可以有效減輕組織機構對上文所述安全評估的焦慮感。ATT&CK框架的目標是成為一個不斷更新的數據集，一旦行業內出現了經過驗證的最新信息，數據集就會持續更新，從而將ATT&CK打造成為一個所有安全人員都認為是最全面、最值得信賴的安全框架。

現在，信息安全團隊可以根據ATT&CK提供的知識體繫對自己進行評估，以便確定他們已經覆蓋了所有必要領域，不會遺漏任何重要的“未知的未知”。因此，通過不斷更新經行業驗證的攻擊方法和相關信息，ATT&CK框架提供了行業中最全面的與已知攻擊方法相關的信息，為評估網絡防御方面的差距提供了一個非常有用的工具。