第一部分 ATT&CK入門篇
第1章 潛心開始MITRE ATT&CK之旅 2
1.1 MITRE ATT&CK是什麼 3
1.2 ATT&CK框架的對像關繫介紹 14
1.3 ATT&CK框架實例說明 18
第2章 新場景示例:針對容器和Kubernetes的ATT&CK攻防矩陣 38
2.1 針對容器的ATT&CK攻防矩陣 39
2.2 針對Kubernetes的攻防矩陣 42
第3章 數據源:ATT&CK應用實踐的前提 52
3.1 當前ATT&CK數據源利用急需解決的問題 53
3.2 升級ATT&CK數據源的使用情況 59
3.3 ATT&CK數據源的運用示例 65
第二部分 ATT&CK提高篇
第4章 十大攻擊組織和惡意軟件的分析與檢測 78
4.1 TA551攻擊行為的分析與檢測 79
4.2 漏洞利用工具Cobalt Strike的分析與檢測 81
4.3 銀行木馬Qbot的分析與檢測 83
4.4 銀行木馬lcedlD的分析與檢測 84
4.5 憑證轉儲工具Mimikatz的分析與檢測 86
4.6 惡意軟件Shlayer的分析與檢測 88
4.7 銀行木馬Dridex的分析與檢測 89
4.8 銀行木馬Emotet的分析與檢測 91
4.9 銀行木馬TrickBot的分析與檢測 92
4.10 蠕蟲病毒Gamarue的分析與檢測 93
第5章 十大高頻攻擊技術的分析與檢測 95
5.1 命令和腳本解析器(T1059)的分析與檢測 96
5.1.1 PowerShell(T1059.001)的分析與檢測 96
5.1.2 Windows Cmd Shell(T1059.003)的分析與檢測 98
5.2 利用已簽名二進制文件代理執行(T1218)的分析與檢測 100
5.3 創建或修改繫統進程(T1543)的分析與檢測 108
5.4 計劃任務/作業(T1053)的分析與檢測 111
5.5 OS憑證轉儲(T1003)的分析與檢測 114
5.6 進程注入(T1055)的分析與檢測 117
5.7 混淆文件或信息(T1027)的分析與檢測 120
5.8 入口工具轉移(T1105)的分析與檢測 122
5.9 繫統服務(T1569)的分析與檢測 124
5.10 偽裝(T1036)的分析與檢測 126
第6章 紅隊視角:典型攻擊技術的復現 129
6.1 基於本地賬戶的初始訪問 130
6.2 基於WMI執行攻擊技術 131
6.3 基於瀏覽器插件實現持久化 132
6.4 基於進程注入實現提權 134
6.5 基於Rootkit實現防御繞過 135
6.6 基於暴力破解獲得憑證訪問權限 136
6.7 基於操作繫統程序發現繫統服務 138
6.8 基於SMB實現橫向移動 139
6.9 自動化收集內網數據 141
6.10 通過命令與控制通道傳遞攻擊載荷 142
6.11 成功竊取數據 143
6.12 通過停止服務造成危害 144
第7章 藍隊視角:攻擊技術的檢測示例 145
7.1 執行:T1059命令和腳本解釋器的檢測 146
7.2 持久化:T1543.003創建或修改繫統進程(Windows服務)的檢測 147
7.3 權限提升:T1546.015組件對像模型劫持的檢測 149
7.4 防御繞過:T1055.001 DLL注入的檢測 150
7.5 憑證訪問:T1552.002注冊表中的憑證的檢測 152
7.6 發現:T1069.002域用戶組的檢測 153
7.7 橫向移動:T1550.002哈希傳遞攻擊的檢測 154
7.8 收集:T1560.001通過程序壓縮的檢測 155
第三部分 ATT&CK實踐篇
第8章 ATT&CK應用工具與項目 158
8.1 ATT&CK三個關鍵工具 159
8.2 ATT&CK實踐應用項目 164
第9章 ATT&CK場景實踐 175
9.1 ATT&CK的四大使用場景 178
9.2 ATT&CK實踐的常見誤區 190
第10章 基於ATT&CK的安全運營 193
10.1 基於ATT&CK的運營流程 195
10.2 基於ATT&CK的運營實踐 200
10.3 基於ATT&CK的模擬攻擊 206
第11章 基於ATT&CK的威脅狩獵 218
11.1 威脅狩獵的開源項目 219
11.2 ATT&CK與威脅狩獵 224
11.3 威脅狩獵的行業實戰 231
第四部分 ATT&CK生態篇
第12章 MITRE Shield主動防御框架 246
12.1 MITRE Shield背景介紹 247
12.2 MITRE Shield矩陣模型 249
12.3 MITRE Shield與ATT&CK的映射 253
12.4 MITRE Shield使用入門 254
第13章 ATT&CK測評 259
13.1 測評方法 260
13.2 測評流程 262
13.3 測評內容 264
13.4 測評結果 266
附錄A ATT&CK戰術及場景實踐 271
附錄B ATT&CK攻擊與SHIELD防御映射圖 292