ATT&CK框架實踐指南（簡體書）

自有互聯網以來，網絡安全問題相伴而生，隨著互聯網滲透到經濟社會的方方面面，網絡安全問題也愈演愈烈，危害也越來越大。網絡安全問題從個別網絡精英炫耀個人能力的惡作劇到具有明顯目的的有組織犯罪，甚至成為有政府背景的網絡戰的一種形式。

網絡安全問題的內因是網絡設備的後門和網絡軟件的漏洞以及人為操作失誤，外因是遭遇外部入侵或感染病毒，受影響的程度取決於網絡安全防御能力，或者說是網絡安全對抗的戰術和技術水平，即網絡攻防實力較量的結果。攻防兩方面總是動態博弈，攻防的格局不斷迭代演進，表現出一些特點：首先是攻防的不對稱性，防在明處而攻在暗處，導致攻易防難，網絡安全處於被動應對狀態。其次是攻防格局的不確定性，網絡業務是動態變化的，網絡拓撲也會調整升級，加上攻擊手段不斷翻新，總是未知多於已知。第三，防御效果的不可信性，網絡或業務的所有方對所采取的網絡安全措施的效果缺乏把握，對系統安全心中無底，甚至不知道從哪些方面做改進，不知道該從何下手來加固網絡安全。

習近平總書記2016年4月19日在網絡安全和信息化工作座談會上的講話指出：“網絡安全具有很強的隱蔽性，一個技術漏洞、安全風險可能隱藏幾年都發現不了，結果是‘誰進來了不知道、是敵是友不知道、幹了什麼不知道’，長期‘潛伏’在裡面，一旦有事就發作了。”

“維護網絡安全，首先要知道風險在哪裡，是什麼樣的風險，什麼時候發生風險，正所謂‘聰者聽於無聲，明者見於未形’。感知網絡安全態勢是最基本最基礎的工作。”

要感知網絡風險得從內部和外部兩方面並舉，內部要摸清家底找出漏洞並強化管理，外部要把握網絡入侵的規律、動向與趨勢。盡管攻擊手法出奇、靶點眾多，但網絡攻擊的目的不外乎通過劫持網絡或數據的控制權，致癱網絡和竊取數據等獲取政治和經濟利益。總體上看網絡入侵還是有一定套路可循的，需要利用大數據分析從大量網絡入侵案例中來總結。

ATT&CK（對抗戰術與技術知識庫）從網絡入侵者的角度歸納網絡入侵、攻擊的方法與步驟。開發ATT&CK的目的不是為黑客提供教程，而是知己知彼百戰不殆，通過梳理實現對網絡入侵足跡的留痕，給網絡安全防御以清晰的維度和明確的思路。盡管ATT&CK不可能準確預測新的網絡入侵的目標與路徑，但可以顯著收窄需要重點關注的範圍，大大降低了網絡安全防御措施的盲目性。

《ATT&CK框架實踐指南》的作者團隊長期研究MITRE的ATT&CK技術，通過豐富的實踐加深了對ATT&CK框架的理解，積累了有實戰價值的經驗體會。本書介紹了ATT&CK在威脅情報、檢測分析、模擬攻擊、評估改進等方面的工具與應用，給出了有效的關於防御措施的建議。網絡攻防總是魔高一尺道高一丈，在博弈中升級，ATT&CK來源於實踐案例的總結，也會隨時間而不斷豐富更新，期待本書能起到拋磚引玉的作用，在全球ATT&CK中貢獻中國智能，更重要的是善於運用ATT&CK的方法來提升我國網絡安全防御能力。

——中國工程院院士 鄔賀銓

序言

過去，入侵檢測能力的度量一直是網絡安全領域的一個行業難題，各個企業每年在入侵防護上都投入了不少錢，但是幾乎沒有安全人員能回答CEO的問題：“買了這麼多安全產品，我們的入侵防御和檢測能力到底怎麼樣，能不能防住黑客？”這個問題很難回答，核心原因是缺乏一個明確的、可衡量的、可落地的標準。所以，防守方對於入侵檢測能力的判定通常會陷入不可知和不確定的狀態中，既說不清自己能力的高低，也無法有效彌補自己的短板。

MITRE ATT&CK的出現解決了這個行業難題。它給了我們一把尺子，讓我們可以用統一的標準去衡量自己的防御和檢測能力。ATT&CK並非是一個學院派的理論框架，而是來源於實戰。ATT&CK框架是安全從業者們在長期的攻防對抗、攻擊溯源、攻擊手法分析的過程中，逐漸提煉總結而形成的實用性強、可落地、說得清道得明的體系框架。這個框架是先進的、充滿生命力的，而且具備非常高的使用價值。

盡管MITRE ATT&CK毫無疑問是近幾年安全領域最熱門的話題之一，大多數安全行業從業者或多或少都聽說過它，但是由於時間、精力、資料有限等原因，能夠深入研究ATT&CK的研究者在國內寥寥無幾。青藤因為公司業務的需要，早在幾年前就開始關注 ATT&CK 的發展，並且從 2018 年開始系統性地對ATT&CK進行研究。經過三年多的研究、學習和探索，青藤積累了相對比較成熟和系統化的研究材料，內容涵蓋了從ATT&CK框架的基本介紹、戰術與技術解析，到攻擊技術的復現、分析與檢測，到實際應用與實踐，以及ATT&CK生態的發展。

研究得越多，我們越意識到MITRE ATT&CK可以為行業帶來的貢獻。因此，我們編寫了本書，作為ATT&CK框架的系統性學習材料，希望讓更多人了解ATT&CK，學習先進的理論體系，提升防守方的技術水準，加強攻防對抗能力。我們也歡迎大家一起加入到研究中，為這個體系的完善貢獻一份力量。

——青藤云安全創始人兼CEO 張福

前言

由MITRE發起的對抗戰術和技術知識庫——ATT&CK始於2015年，其目標是提供一個“基於現實世界觀察的、全球可訪問的對抗戰術和技術知識庫”。ATT&CK一誕生，便迅速風靡信息安全行業。全球各地的許多安全廠商和信息安全團隊都迅速采用了ATT&CK框架。在他們看來，ATT&CK框架是近年來信息安全領域最有用也是最急需的一個框架。ATT&CK框架提供了許多企業過去一直在努力實現的關鍵能力：開發、組織和使用基於威脅信息的防御策略，以便讓合作伙伴、行業、安全廠商能夠以一種標準化的方式進行溝通交流。

本書按照由淺入深的順序分為四部分，第一部分為ATT&CK入門篇，介紹了ATT&CK框架的整體架構，並對當前備受關注的ATT&CK容器矩陣以及在入侵檢測中容易被忽視的數據源問題進行了介紹；第二部分為ATT&CK提高篇，介紹了如何結合ATT&CK框架來檢測一些常見的攻擊組織、惡意軟件和高頻攻擊技術，並分別從紅隊視角和藍隊視角對一些攻擊技術進行了復現和檢測分析；第三部分為ATT&CK實踐篇，介紹了ATT&CK的一些應用工具與項目，以及如何利用這些工具進行實踐（實踐場景包括威脅情報、檢測分析、模擬攻擊、評估改進），改善安全運營，進行威脅狩獵等；第四部分為ATT&CK生態篇，介紹了MITRE的主動防御項目——MITRE Shield（它能夠有效地與MITRE ATT&CK映射起來，對ATT&CK框架中的攻擊技術給出有效的防御措施）以及ATT&CK的另一個應用場景——ATT&CK測評。

在ATT&CK框架出現之前，評估一個組織的安全態勢可能是一件很麻煩的事情。當然，安全團隊可以利用威脅情報來驗證他們可以檢測到哪些特定的攻擊方法，但始終有一個問題縈繞在他們的心頭：“如果我漏掉了某些攻擊，會產生什麼後果？”但如果安全團隊驗證了很多攻擊方法，就很容易產生一種虛假的安全感，並對自己的防御能力過於自信。畢竟，我們很難了解我們並不知道的東西。

幸運的是，ATT&CK框架的目標就是解決這一問題。MITRE公司經過大量的研究和整理工作，建立了ATT&CK框架。ATT&CK框架創建了一個包括所有已知攻擊方法的分類列表，將其與使用這些方法的攻擊組織、實現這些方法的軟件以及遏制其使用的緩解措施和檢測方法結合起來，可以有效減輕組織機構對上文所述安全評估的焦慮感。ATT&CK框架的目標是成為一個不斷更新的數據集，一旦行業內出現了經過驗證的最新信息，數據集就會持續更新，從而將ATT&CK打造成為一個所有安全人員都認為是最全面、最值得信賴的安全框架。

現在，信息安全團隊可以根據ATT&CK提供的知識體系對自己進行評估，以便確定他們已經覆蓋了所有必要領域，不會遺漏任何重要的“未知的未知”。因此，通過不斷更新經行業驗證的攻擊方法和相關信息，ATT&CK框架提供了行業中最全面的與已知攻擊方法相關的信息，為評估網絡防御方面的差距提供了一個非常有用的工具。

第一部分 ATT&CK入門篇

第1章 潛心開始MITRE ATT&CK之旅 2

1.1 MITRE ATT&CK是什麼 3

1.2 ATT&CK框架的物件關係介紹 14

1.3 ATT&CK框架實例說明 18

第2章 新場景示例：針對容器和Kubernetes的ATT&CK攻防矩陣 38

2.1 針對容器的ATT&CK攻防矩陣 39

2.2 針對Kubernetes的攻防矩陣 42

第3章 數據源：ATT&CK應用實踐的前提 52

3.1 當前ATT&CK數據源利用急需解決的問題 53

3.2 升級ATT&CK數據源的使用情況 59

3.3 ATT&CK數據源的運用示例 65

第二部分 ATT&CK提高篇

第4章 十大攻擊組織和惡意軟件的分析與檢測 78

4.1 TA551攻擊行為的分析與檢測 79

4.2 漏洞利用工具Cobalt Strike的分析與檢測 81

4.3 銀行木馬Qbot的分析與檢測 83

4.4 銀行木馬lcedlD的分析與檢測 84

4.5 憑證轉儲工具Mimikatz的分析與檢測 86

4.6 惡意軟件Shlayer的分析與檢測 88

4.7 銀行木馬Dridex的分析與檢測 89

4.8 銀行木馬Emotet的分析與檢測 91

4.9 銀行木馬TrickBot的分析與檢測 92

4.10 蠕蟲病毒Gamarue的分析與檢測 93

第5章 十大高頻攻擊技術的分析與檢測 95

5.1 命令和腳本解析器（T1059）的分析與檢測 96

5.1.1 PowerShell（T1059.001）的分析與檢測 96

5.1.2 Windows Cmd Shell（T1059.003）的分析與檢測 98

5.2 利用已簽名二進制文件代理執行（T1218）的分析與檢測 100

5.3 創建或修改系統進程（T1543）的分析與檢測 108

5.4 計劃任務/作業（T1053）的分析與檢測 111

5.5 OS憑證轉儲（T1003）的分析與檢測 114

5.6 進程注入（T1055）的分析與檢測 117

5.7 混淆文件或信息（T1027）的分析與檢測 120

5.8 入口工具轉移（T1105）的分析與檢測 122

5.9 系統服務（T1569）的分析與檢測 124

5.10 偽裝（T1036）的分析與檢測 126

第6章 紅隊視角：典型攻擊技術的復現 129

6.1 基於本地帳戶的初始訪問 130

6.2 基於WMI執行攻擊技術 131

6.3 基於瀏覽器插件實現持久化 132

6.4 基於進程注入實現提權 134

6.5 基於Rootkit實現防御繞過 135

6.6 基於暴力破解獲得憑證訪問權限 136

6.7 基於操作系統程序發現系統服務 138

6.8 基於SMB實現橫向移動 139

6.9 自動化收集內網數據 141

6.10 通過命令與控制通道傳遞攻擊載荷 142

6.11 成功竊取數據 143

6.12 通過停止服務造成危害 144

第7章 藍隊視角：攻擊技術的檢測示例 145

7.1 執行：T1059命令和腳本解釋器的檢測 146

7.2 持久化：T1543.003創建或修改系統進程（Windows服務）的檢測 147

7.3 權限提升：T1546.015組件物件模型劫持的檢測 149

7.4 防御繞過：T1055.001 DLL注入的檢測 150

7.5 憑證訪問：T1552.002注冊表中的憑證的檢測 152

7.6 發現：T1069.002域用戶組的檢測 153

7.7 橫向移動：T1550.002哈希傳遞攻擊的檢測 154

7.8 收集：T1560.001通過程序壓縮的檢測 155

第三部分 ATT&CK實踐篇

第8章 ATT&CK應用工具與項目 158

8.1 ATT&CK三個關鍵工具 159

8.2 ATT&CK實踐應用項目 164

第9章 ATT&CK場景實踐 175

9.1 ATT&CK的四大使用場景 178

9.2 ATT&CK實踐的常見誤區 190

第10章 基於ATT&CK的安全運營 193

10.1 基於ATT&CK的運營流程 195

10.2 基於ATT&CK的運營實踐 200

10.3 基於ATT&CK的模擬攻擊 206

第11章 基於ATT&CK的威脅狩獵 218

11.1 威脅狩獵的開源項目 219

11.2 ATT&CK與威脅狩獵 224

11.3 威脅狩獵的行業實戰 231

第四部分 ATT&CK生態篇

第12章 MITRE Shield主動防御框架 246

12.1 MITRE Shield背景介紹 247

12.2 MITRE Shield矩陣模型 249

12.3 MITRE Shield與ATT&CK的映射 253

12.4 MITRE Shield使用入門 254

第13章 ATT&CK測評 259

13.1 測評方法 260

13.2 測評流程 262

13.3 測評內容 264

13.4 測評結果 266

附錄A ATT&CK戰術及場景實踐 271

附錄B ATT&CK攻擊與SHIELD防御映射圖 292