张福

青藤云安全创始人&CEO。毕业于同济大学，专注于前沿技术研究，在安全攻防领域有超过 15 年的探索和实践。曾先后在国内多家知名互联网企业，如第九城市、盛大网络、昆仑万维，担任技术和业务安全负责人。目前，张福拥有 10 余项自主知识产权发明专利，30 余项软件著作权。曾荣获“改革开放 40 年网络安全领军人物”“中关村高端领军人才”“中关村创业之星”等称号。

程度

青藤云安全联合创始人&COO，毕业于首都师范大学，擅长网络攻防安全技术研究和大数据算法研究，在云计算安全、机器学习领域有很高的学术造诣，参与多项云安全标准制定和标准审核工作，现兼任《信息安全研究》《信息网络安全》编委，曾发表多篇论文，并被国内核心期刊收录，曾获“OSCAR尖峰开源技术杰出贡献奖”。

胡俊

青藤云安全联合创始人&产品副总裁，毕业于华中科技大学，中国信息通信研究院可信云专家组成员，入选武汉东湖高新技术开发区第十一批“3551光谷人才计划”，曾在百纳信息主导了多款工具应用、海豚浏览器云服务的开发。青藤云安全创立后，主导开发“青藤万相·主机自适应安全平台”“青藤蜂巢·云原生安全平台”等产品，获得发明专利10余项，是公认的安全产品专家，曾发表多篇论文，并被中文核心期刊收录。

√ 全方位介绍ATT&CK在威胁情报、检测分析、模拟攻击、评估改进等方面的工具与应用，给出有效防御措施建议。

√ 本书体系框架来源于长期攻防对抗、攻击溯源、攻击手法分析的实战过程，实用性强、可落地、说得清、道得明。

√ 攻击视角下的战术与技术知识库，帮助企业开发、组织和使用基于威胁信息的防御策略及评估网络防御能力差距。

√ 构建较细粒度的攻击行为模型和更易共享的抽象框架，可用于攻击与防御能力评估、APT情报分析及攻防演练等。

自有互联网以来，网络安全问题相伴而生，随着互联网渗透到经济社会的方方面面，网络安全问题也愈演愈烈，危害也越来越大。网络安全问题从个别网络精英炫耀个人能力的恶作剧到具有明显目的的有组织犯罪，甚至成为有政府背景的网络战的一种形式。

网络安全问题的内因是网络设备的后门和网络软件的漏洞以及人为操作失误，外因是遭遇外部入侵或感染病毒，受影响的程度取决于网络安全防御能力，或者说是网络安全对抗的战术和技术水平，即网络攻防实力较量的结果。攻防两方面总是动态博弈，攻防的格局不断迭代演进，表现出一些特点：首先是攻防的不对称性，防在明处而攻在暗处，导致攻易防难，网络安全处于被动应对状态。其次是攻防格局的不确定性，网络业务是动态变化的，网络拓扑也会调整升级，加上攻击手段不断翻新，总是未知多于已知。第三，防御效果的不可信性，网络或业务的所有方对所采取的网络安全措施的效果缺乏把握，对系统安全心中无底，甚至不知道从哪些方面做改进，不知道该从何下手来加固网络安全。

习近平总书记2016年4月19日在网络安全和信息化工作座谈会上的讲话指出：“网络安全具有很强的隐蔽性，一个技术漏洞、安全风险可能隐藏几年都发现不了，结果是‘谁进来了不知道、是敌是友不知道、干了什么不知道’，长期‘潜伏’在里面，一旦有事就发作了。”

“维护网络安全，首先要知道风险在哪里，是什么样的风险，什么时候发生风险，正所谓‘聪者听于无声，明者见于未形’。感知网络安全态势是最基本最基础的工作。”

要感知网络风险得从内部和外部两方面并举，内部要摸清家底找出漏洞并强化管理，外部要把握网络入侵的规律、动向与趋势。尽管攻击手法出奇、靶点众多，但网络攻击的目的不外乎通过劫持网络或数据的控制权，致瘫网络和窃取数据等获取政治和经济利益。总体上看网络入侵还是有一定套路可循的，需要利用大数据分析从大量网络入侵案例中来总结。

ATT&CK（对抗战术与技术知识库）从网络入侵者的角度归纳网络入侵、攻击的方法与步骤。开发ATT&CK的目的不是为黑客提供教程，而是知己知彼百战不殆，通过梳理实现对网络入侵足迹的留痕，给网络安全防御以清晰的维度和明确的思路。尽管ATT&CK不可能准确预测新的网络入侵的目标与路径，但可以显著收窄需要重点关注的范围，大大降低了网络安全防御措施的盲目性。

《ATT&CK框架实践指南》的作者团队长期研究MITRE的ATT&CK技术，通过丰富的实践加深了对ATT&CK框架的理解，积累了有实战价值的经验体会。本书介绍了ATT&CK在威胁情报、检测分析、模拟攻击、评估改进等方面的工具与应用，给出了有效的关于防御措施的建议。网络攻防总是魔高一尺道高一丈，在博弈中升级，ATT&CK来源于实践案例的总结，也会随时间而不断丰富更新，期待本书能起到抛砖引玉的作用，在全球ATT&CK中贡献中国智慧，更重要的是善于运用ATT&CK的方法来提升我国网络安全防御能力。

——中国工程院院士 邬贺铨

序言

过去，入侵检测能力的度量一直是网络安全领域的一个行业难题，各个企业每年在入侵防护上都投入了不少钱，但是几乎没有安全人员能回答CEO的问题：“买了这么多安全产品，我们的入侵防御和检测能力到底怎么样，能不能防住黑客？”这个问题很难回答，核心原因是缺乏一个明确的、可衡量的、可落地的标准。所以，防守方对于入侵检测能力的判定通常会陷入不可知和不确定的状态中，既说不清自己能力的高低，也无法有效弥补自己的短板。

MITRE ATT&CK的出现解决了这个行业难题。它给了我们一把尺子，让我们可以用统一的标准去衡量自己的防御和检测能力。ATT&CK并非是一个学院派的理论框架，而是来源于实战。ATT&CK框架是安全从业者们在长期的攻防对抗、攻击溯源、攻击手法分析的过程中，逐渐提炼总结而形成的实用性强、可落地、说得清道得明的体系框架。这个框架是先进的、充满生命力的，而且具备非常高的使用价值。

尽管MITRE ATT&CK毫无疑问是近几年安全领域最热门的话题之一，大多数安全行业从业者或多或少都听说过它，但是由于时间、精力、资料有限等原因，能够深入研究ATT&CK的研究者在国内寥寥无几。青藤因为公司业务的需要，早在几年前就开始关注 ATT&CK 的发展，并且从 2018 年开始系统性地对ATT&CK进行研究。经过三年多的研究、学习和探索，青藤积累了相对比较成熟和系统化的研究材料，内容涵盖了从ATT&CK框架的基本介绍、战术与技术解析，到攻击技术的复现、分析与检测，到实际应用与实践，以及ATT&CK生态的发展。

研究得越多，我们越意识到MITRE ATT&CK可以为行业带来的贡献。因此，我们编写了本书，作为ATT&CK框架的系统性学习材料，希望让更多人了解ATT&CK，学习先进的理论体系，提升防守方的技术水准，加强攻防对抗能力。我们也欢迎大家一起加入到研究中，为这个体系的完善贡献一份力量。

——青藤云安全创始人兼CEO 张福

前言

由MITRE发起的对抗战术和技术知识库——ATT&CK始于2015年，其目标是提供一个“基于现实世界观察的、全球可访问的对抗战术和技术知识库”。ATT&CK一诞生，便迅速风靡信息安全行业。全球各地的许多安全厂商和信息安全团队都迅速采用了ATT&CK框架。在他们看来，ATT&CK框架是近年来信息安全领域最有用也是最急需的一个框架。ATT&CK框架提供了许多企业过去一直在努力实现的关键能力：开发、组织和使用基于威胁信息的防御策略，以便让合作伙伴、行业、安全厂商能够以一种标准化的方式进行沟通交流。

本书按照由浅入深的顺序分为四部分，第一部分为ATT&CK入门篇，介绍了ATT&CK框架的整体架构，并对当前备受关注的ATT&CK容器矩阵以及在入侵检测中容易被忽视的数据源问题进行了介绍；第二部分为ATT&CK提高篇，介绍了如何结合ATT&CK框架来检测一些常见的攻击组织、恶意软件和高频攻击技术，并分别从红队视角和蓝队视角对一些攻击技术进行了复现和检测分析；第三部分为ATT&CK实践篇，介绍了ATT&CK的一些应用工具与项目，以及如何利用这些工具进行实践（实践场景包括威胁情报、检测分析、模拟攻击、评估改进），改善安全运营，进行威胁狩猎等；第四部分为ATT&CK生态篇，介绍了MITRE的主动防御项目——MITRE Shield（它能够有效地与MITRE ATT&CK映射起来，对ATT&CK框架中的攻击技术给出有效的防御措施）以及ATT&CK的另一个应用场景——ATT&CK测评。

在ATT&CK框架出现之前，评估一个组织的安全态势可能是一件很麻烦的事情。当然，安全团队可以利用威胁情报来验证他们可以检测到哪些特定的攻击方法，但始终有一个问题萦绕在他们的心头：“如果我漏掉了某些攻击，会产生什么后果？”但如果安全团队验证了很多攻击方法，就很容易产生一种虚假的安全感，并对自己的防御能力过于自信。毕竟，我们很难了解我们并不知道的东西。

幸运的是，ATT&CK框架的目标就是解决这一问题。MITRE公司经过大量的研究和整理工作，建立了ATT&CK框架。ATT&CK框架创建了一个包括所有已知攻击方法的分类列表，将其与使用这些方法的攻击组织、实现这些方法的软件以及遏制其使用的缓解措施和检测方法结合起来，可以有效减轻组织机构对上文所述安全评估的焦虑感。ATT&CK框架的目标是成为一个不断更新的数据集，一旦行业内出现了经过验证的最新信息，数据集就会持续更新，从而将ATT&CK打造成为一个所有安全人员都认为是最全面、最值得信赖的安全框架。

现在，信息安全团队可以根据ATT&CK提供的知识体系对自己进行评估，以便确定他们已经覆盖了所有必要领域，不会遗漏任何重要的“未知的未知”。因此，通过不断更新经行业验证的攻击方法和相关信息，ATT&CK框架提供了行业中最全面的与已知攻击方法相关的信息，为评估网络防御方面的差距提供了一个非常有用的工具。

第一部分 ATT&CK入门篇

第1章 潜心开始MITRE ATT&CK之旅 2

1.1 MITRE ATT&CK是什么 3

1.2 ATT&CK框架的对象关系介绍 14

1.3 ATT&CK框架实例说明 18

第2章 新场景示例：针对容器和Kubernetes的ATT&CK攻防矩阵 38

2.1 针对容器的ATT&CK攻防矩阵 39

2.2 针对Kubernetes的攻防矩阵 42

第3章 数据源：ATT&CK应用实践的前提 52

3.1 当前ATT&CK数据源利用急需解决的问题 53

3.2 升级ATT&CK数据源的使用情况 59

3.3 ATT&CK数据源的运用示例 65

第二部分 ATT&CK提高篇

第4章 十大攻击组织和恶意软件的分析与检测 78

4.1 TA551攻击行为的分析与检测 79

4.2 漏洞利用工具Cobalt Strike的分析与检测 81

4.3 银行木马Qbot的分析与检测 83

4.4 银行木马lcedlD的分析与检测 84

4.5 凭证转储工具Mimikatz的分析与检测 86

4.6 恶意软件Shlayer的分析与检测 88

4.7 银行木马Dridex的分析与检测 89

4.8 银行木马Emotet的分析与检测 91

4.9 银行木马TrickBot的分析与检测 92

4.10 蠕虫病毒Gamarue的分析与检测 93

第5章 十大高频攻击技术的分析与检测 95

5.1 命令和脚本解析器（T1059）的分析与检测 96

5.1.1 PowerShell（T1059.001）的分析与检测 96

5.1.2 Windows Cmd Shell（T1059.003）的分析与检测 98

5.2 利用已签名二进制文件代理执行（T1218）的分析与检测 100

5.3 创建或修改系统进程（T1543）的分析与检测 108

5.4 计划任务/作业（T1053）的分析与检测 111

5.5 OS凭证转储（T1003）的分析与检测 114

5.6 进程注入（T1055）的分析与检测 117

5.7 混淆文件或信息（T1027）的分析与检测 120

5.8 入口工具转移（T1105）的分析与检测 122

5.9 系统服务（T1569）的分析与检测 124

5.10 伪装（T1036）的分析与检测 126

第6章 红队视角：典型攻击技术的复现 129

6.1 基于本地账户的初始访问 130

6.2 基于WMI执行攻击技术 131

6.3 基于浏览器插件实现持久化 132

6.4 基于进程注入实现提权 134

6.5 基于Rootkit实现防御绕过 135

6.6 基于暴力破解获得凭证访问权限 136

6.7 基于操作系统程序发现系统服务 138

6.8 基于SMB实现横向移动 139

6.9 自动化收集内网数据 141

6.10 通过命令与控制通道传递攻击载荷 142

6.11 成功窃取数据 143

6.12 通过停止服务造成危害 144

第7章 蓝队视角：攻击技术的检测示例 145

7.1 执行：T1059命令和脚本解释器的检测 146

7.2 持久化：T1543.003创建或修改系统进程（Windows服务）的检测 147

7.3 权限提升：T1546.015组件对象模型劫持的检测 149

7.4 防御绕过：T1055.001 DLL注入的检测 150

7.5 凭证访问：T1552.002注册表中的凭证的检测 152

7.6 发现：T1069.002域用户组的检测 153

7.7 横向移动：T1550.002哈希传递攻击的检测 154

7.8 收集：T1560.001通过程序压缩的检测 155

第三部分 ATT&CK实践篇

第8章 ATT&CK应用工具与项目 158

8.1 ATT&CK三个关键工具 159

8.2 ATT&CK实践应用项目 164

第9章 ATT&CK场景实践 175

9.1 ATT&CK的四大使用场景 178

9.2 ATT&CK实践的常见误区 190

第10章 基于ATT&CK的安全运营 193

10.1 基于ATT&CK的运营流程 195

10.2 基于ATT&CK的运营实践 200

10.3 基于ATT&CK的模拟攻击 206

第11章 基于ATT&CK的威胁狩猎 218

11.1 威胁狩猎的开源项目 219

11.2 ATT&CK与威胁狩猎 224

11.3 威胁狩猎的行业实战 231

第四部分 ATT&CK生态篇

第12章 MITRE Shield主动防御框架 246

12.1 MITRE Shield背景介绍 247

12.2 MITRE Shield矩阵模型 249

12.3 MITRE Shield与ATT&CK的映射 253

12.4 MITRE Shield使用入门 254

第13章 ATT&CK测评 259

13.1 测评方法 260

13.2 测评流程 262

13.3 测评内容 264

13.4 测评结果 266

附录A ATT&CK战术及场景实践 271

附录B ATT&CK攻击与SHIELD防御映射图 292