戰術+技術+程序 - ATT＆CK框架無差別學習

過去，入侵偵測能力的度量一直是網路安全領域的產業難題，各個企業每年在入侵防護上都投入了不少錢，但是幾乎沒有安全人員能回答CEO的問題：「買了這麼多安全產品，我們的入侵防禦和檢測能力到底怎麼樣，能不能防住駭客？」這個問題很難回答，核心原因是缺乏一個明確的、可衡量的、可實作的標準。所以，防守方對於入侵偵測能力的判定通常會陷入不可知和不確定的狀態中，既說不清自己能力的高低，也無法有效彌補自己的缺陷。

MITRE ATT&CK的出現解決了這個產業難題。它給了我們一把尺標，讓我們可以用統一的標準去衡量自己的防禦和檢測能力。ATT&CK並非是一個學院派的理論框架，而是來自實戰。ATT&CK框架是安全從業者們在長期的攻防對抗、攻擊溯源、攻擊手法分析的過程中，逐漸提煉複習而形成的實用性強、可實作、說得清道得明的系統框架。這個框架是先進的、充滿生命力的，而且具備非常高的使用價值。

儘管MITRE ATT&CK毫無疑問是近幾年安全領域最熱門的話題之一，大多數安全產業從業者或多或少都聽說過它，但是由於時間、精力、資料有限等原因，能夠深入研究ATT&CK的研究者寥寥無幾。本書作者團隊因為公司業務的需要，早在幾年前就開始關注 ATT&CK 的發展，並且從2018年開始系統性地對ATT&CK進行研究。經過三年多的研究、學習和探索，累積了相對比較成熟和系統化的研究材料，內容涵蓋了從ATT&CK 框架的基本介紹、戰術與技術解析，到攻擊技術的複現、分析與檢測，到實際應用與實踐，以及ATT&CK 生態的發展。

研究得越多，我們越意識到MITRE ATT&CK 可以為產業帶來的貢獻。因此，我們撰寫了本書，作為ATT&CK 框架的系統性學習材料，希望讓更多人了解ATT&CK，學習先進的理論系統，提升防守方的技術水準，加強攻防對抗能力。我們也歡迎大家一起加入到研究中，為這個系統的完善貢獻一份力量。

張福

過去，入侵偵測能力的度量一直是網路安全領域的產業難題，各個企業每年在入侵防護上都投入了不少錢，但是幾乎沒有安全人員能回答CEO的問題：「買了這麼多安全產品，我們的入侵防禦和檢測能力到底怎麼樣，能不能防住駭客？」這個問題很難回答，核心原因是缺乏一個明確的、可衡量的、可實作的標準。所以，防守方對於入侵偵測能力的判定通常會陷入不可知和不確定的狀態中，既說不清自己能力的高低，也無法有效彌補自己的缺陷。

MITRE ATT&CK的出現解決了這個產業難題。它給了我們一把尺標，讓我們可以用統一的標準去衡量自己的防禦和檢測能...

第一部分　ATT&CK 入門篇
01 潛心開始MITRE ATT&CK 之旅
1.1 MITRE ATT&CK 是什麼
1.2 ATT&CK 框架的物件關係介紹
1.3 ATT&CK 框架實例說明

02 新場景範例：針對容器和Kubernetes 的ATT&CK攻防矩陣
2.1 針對容器的ATT&CK 攻防矩陣
2.2 針對Kubernetes 的攻防矩陣

03 資料來源：ATT&CK 應用實踐的前提
3.1 當前ATT&CK 資料來源利用急需解決的問題
3.2 升級ATT&CK 資料來源的使用情況
3.3 ATT&CK 資料來源的運用範例

第二部分　ATT&CK 提昇篇
04 十大攻擊組織和惡意軟體的分析與檢測
4.1 TA551 攻擊行為的分析與檢測
4.2 漏洞利用工具Cobalt Strike 的分析與檢測
4.3 銀行木馬Qbot 的分析與檢測
4.4 銀行木馬lcedlD 的分析與檢測
4.5 憑證轉存工具Mimikatz 的分析與檢測
4.6 惡意軟體Shlayer 的分析與檢測
4.7 銀行木馬Dridex 的分析與檢測
4.8 銀行木馬Emotet 的分析與檢測
4.9 銀行木馬TrickBot 的分析與檢測
4.10 蠕蟲病毒Gamarue 的分析與檢測

05 十大高頻攻擊技術的分析與檢測
5.1 命令和指令稿解析器（T1059）的分析與檢測
5.2 利用已簽名二進位檔案代理執行（T1218）的分析與檢測
5.3 建立或修改系統處理程序（T1543）的分析與檢測
5.4 計畫任務/ 作業（T1053）的分析與檢測
5.5 OS 憑證轉存（T1003）的分析與檢測
5.6 處理程序注入（T1055）的分析與檢測
5.7 混淆檔案或資訊（T1027）的分析與檢測
5.8 入口工具轉移（T1105）的分析與檢測
5.9 系統服務（T1569）的分析與檢測
5.10 偽裝（T1036）的分析與檢測

06 紅隊角度：典型攻擊技術的重現
6.1 基於本地帳戶的初始存取
6.2 基於WMI 執行攻擊技術
6.3 基於瀏覽器外掛程式實現持久化
6.4 基於處理程序注入實現提權
6.5 基於Rootkit 實現防禦繞過
6.6 基於暴力破解獲得憑證存取權限
6.7 基於作業系統程式發現系統服務
6.8 基於SMB 實現水平移動
6.9 自動化收集內網資料
6.10 透過命令與控制通道傳遞攻擊酬載
6.11 成功竊取資料
6.12 透過停止服務造成危害

07 藍隊角度：攻擊技術的檢測範例
7.1 執行：T1059 命令和指令稿解譯器的檢測
7.2 持久化：T1543.003 建立或修改系統處理程序（Windows 服務）的檢測
7.3 許可權提升：T1546.015 元件物件模型綁架的檢測
7.4 防禦繞過：T1055.001 DLL 注入的檢測
7.5 憑證存取：T1552.002 登錄檔中的憑證的檢測
7.6 發現：T1069.002 域使用者群組的檢測
7.7 水平移動：T1550.002 雜湊傳遞攻擊的檢測
7.8 收集：T1560.001 透過程式壓縮的檢測

第三部分　ATT&CK 實踐篇
08 ATT&CK 應用工具與專案
8.1 ATT&CK 三個關鍵工具
8.2 ATT&CK 實踐應用專案

09 ATT&CK 場景實踐
9.1 ATT&CK 的四大使用場景
9.2 ATT&CK 實踐的常見誤區

10 基於ATT&CK 的安全營運
10.1 基於ATT&CK 的營運流程
10.2 基於ATT&CK 的營運實踐
10.3 基於ATT&CK 的模擬攻擊

11 基於ATT&CK 的威脅狩獵
11.1 威脅狩獵的開放原始碼專案
11.2 ATT&CK 與威脅狩獵
11.3 威脅狩獵的產業實戰

第四部分　ATT&CK 生態篇
12 MITRE Shield 主動防禦框架
12.1 MITRE Shield 背景介紹
12.2 MITRE Shield 矩陣模型
12.3 MITRE Shield 與ATT&CK 的映射
12.4 MITRE Shield 使用入門

13 ATT&CK 評測
13.1 評測方法
13.2 評測流程
13.3 評測內容
13.4 評測結果
13.5 複習

A. ATT&CK 戰術及場景實踐
A.1 偵察
A.2 資源開發
A.3 初始存取
A.4 執行
A.5 持久化
A.6 許可權提升
A.7 防禦繞過
A.8 憑證存取
A.9 發現
A.10 水平移動
A.11 收集
A.12 命令與控制
A.13 資料竊取
A.14 危害
B. ATT&CK 攻擊與SHIELD 防禦映射圖
C. 參考文獻

第一部分　ATT&CK 入門篇
01 潛心開始MITRE ATT&CK 之旅
1.1 MITRE ATT&CK 是什麼
1.2 ATT&CK 框架的物件關係介紹
1.3 ATT&CK 框架實例說明

02 新場景範例：針對容器和Kubernetes 的ATT&CK攻防矩陣
2.1 針對容器的ATT&CK 攻防矩陣
2.2 針對Kubernetes 的攻防矩陣

03 資料來源：ATT&CK 應用實踐的前提
3.1 當前ATT&CK 資料來源利用急需解決的問題
3.2 升級ATT&CK 資料來源的使用情況
3.3 ATT&CK 資料來源的運用範例

第二部分　ATT&CK 提昇篇
04 十大攻擊組織和惡意軟體的分析與檢測
4.1 TA551 攻擊行為的分析與檢測
4...