自《ATT&CK框架实践指南》首次发布以来，已过去了将近2年的时间。正如我们所知，ATT&CK每年都会更新2个版本，目前已更新至V13版本，在很多方面都发生了重大变化。在这段时间里，青藤也在探索 ATT&CK 的应用方面也积累了更为丰富的实践经验。鉴于此，我们出版了《ATT&CK框架实践指南》第2版，对ATT&CK相关内容做了大量更新。为感谢青藤粉丝一直以来的支持与信赖，我们准备了100本新书送给大家，现在就转发文章参与活动吧！

参与赠书活动见文末

在《ATT&CK框架实践指南》第2版中，除了根据V12版本更新基本信息外，我们主要围绕ATT&CK框架新增/更新了以下10大内容版块。

对于组织机构来讲，内部恶意人员是一种特殊威胁。现代企业网络注重抵御外部威胁，但往往默认信任内部人员。然而，这种信任给了内部人员滥用权限的机会，可能导致数据窃取、系统破坏等恶意行为，给企业带来经济、运营和声誉损失。因此，检测和缓解内部威胁成为网络安全领域的难题。

研究内部威胁的应对措施非常困难，其主要原因在于：首先，SOC和内部威胁分析人员需要了解每个内部人员可能使用的技术威胁以及相应的安全控制措施。其次，制定统一的防范措施困难，需要共享和分析整个行业的数据，但许多组织不愿分享有关内部事件的信息。这些事件可能导致声誉、经济或运营重大损失，并暴露组织在网络安全技术上的薄弱点。由于这些原因，即使组织发生内部事件，它们也不愿公开相关信息，以避免揭示弱点给其他潜在威胁行为者。为解决这一难题，MITRE威胁防御中心（CTID）开发了针对IT环境中内部威胁的TTPs公开知识库，可帮助网络防御者更好地检测和缓解内部威胁。

图1 内部威胁TTPs热图

在日常的网络安全运营中，安全运营人员不仅需要知道自己面对哪些安全威胁，知道阻止或者防御这些安全威胁的相关对策，还需要了解这些对策是做什么的、如何实现的，以及是否具有局限性。在这种情况下，MITRE D3FEND 知识图谱应运而生，它将防御性战术和技术以表格的形式呈现出来，并明确说明了其层次结构：

图2 MITRE D3FEND 知识图谱

随着技术进步，软件供应链变得越来越复杂。现代应用主要是由开源库中的代码和内部开发团队编写的代码结合创建的。这种扩展使得软件能够更快地发布，但也因协作团队和工具增多，导致复杂性大大提高，给安全带来巨大风险。数字化转型加速，保护软件供应链安全迫在眉睫。2023 年 2 月，OX 安全团队宣布正式发布 OSC&R（开放式软件供应链攻击参考框架），这是第一个也是目前唯一一个评估软件供应链安全的开源框架，为了解攻击者的行为和技术提供了一个全面、系统、可落地的方法。该框架按照攻击者使用的战术、技术和步骤（TTPs）组织排列，涵盖了大量的攻击向量，并重点关注攻击过程。安全团队可以利用该框架评估现有防御措施，了解自身的脆弱性和应重点改善的地方，并跟踪攻击组织的攻击行为。

图3 开放式软件供应链攻击参考框架OSC&R

长期以来，MITRE ATT&CK的高级用户一直在努力将其组织内的TTPs知识库与公开的ATT&CK知识库结合起来。ATT&CK Workbench项目降低了防御者在这方面的难度，确保可以将他们的威胁情报与公开的ATT&CK知识库拉齐。Workbench是一个简单易用的开源工具，能够帮助企业管理和扩展他们自己的本地ATT&CK，同时与ATT&CK知识库保持同步更新。用户可以利用Workbench探索、创建、注释和分享ATT&CK知识库。组织或个人可以启动自己的应用实例作为定制化ATT&CK知识库的核心，并根据需要添加其他工具和接口。通过Workbench，用户可以增加或更新技术、战术、缓解措施、攻击组织和攻击软件等本地知识库内容。此外，用户还可以通过Workbench与更广泛的ATT&CK社区分享他们扩展的内容，促进社区内更高水平的合作。简而言之，Workbench 有三大功能：

图4 Workbench三大功能示意图

由于网络失陷往往是不可避免的，防守方可以通过对抗作战来确保失陷并不一定会造成损失。MITRE Engage主动作战框架有助于规划和执行对抗作战战略和战术。Engage矩阵分为战略活动和作战活动两类。战略活动包括下图中两端的黄色部分，旨在确保防守方按照规划推动行动，并在确定的规则范围内进行。作战活动是针对攻击者采取的具体技术。Engage矩阵进一步细分为作战目标、作战方法和作战活动，用于实现高层次的结果并推动作战目标的实现。随着作战逐渐深入，用户需要不断调整作战活动以实现目标。

图5 Engage 矩阵中的作战目标、作战方法与作战活动

防守方在跟踪攻击行为时，往往一次只关注一个具体行动。诚然，这是采取威胁防御的第一步，但攻击者会使用一系列技术来实现其目标。了解这一系列技术的背景信息以及它们之间的关系，可以实现额外的防御能力，让防御更有效。Attack Flow开发了一种用于描述攻击行为序列的数据格式。通过Attack Flow，安全社区可以可视化、分析和分享行动序列及受影响的资产，从而促进我们对攻击威胁和威胁处理方式的理解。图7 展示了勒索软件Conti 的一个完整攻击流程示例。【不要问，问就是在新书里，赶快去文末领书吧】

图6 勒索软件 Conti 的完整攻击流程图

虽然企业知道强大的安全解决方案是必不可少的，但要确定什么是最好的安全解决方案并非易事。安全解决方案提供商和用户之间往往存在信息脱节的情况，特别是在这些解决方案如何解决真实威胁这一方面。ATT&CK测评旨在旨在以公平透明的方式客观地评估安全厂商是否具有他们所说的安全能力。ATT&CK测评可以评估安全厂商产品在防御攻击行为方面的水平，为安全厂商提供无偏见的反馈，使其能够清楚了解自身技术水平和能力的限制，并不断改进解决方案，推动网络安全的防御建设。MITRE会与每个安全厂商独立合作，了解其威胁检测方式，测评结果不涉及竞争性分析，不包含分数、排名或评级，但会向公众公布测评方法和结果。ATT&CK测评结果会提供关键的背景信息，包括具体的实施细节和时间，有助于组织机构选择适合的安全厂商产品，并更有效地利用这些产品的功能。截至目前，ATT&CK 测评提供四类测评：ATT&CK for Enterprise测评、ATT&CK for ICS测评、托管服务测评及欺骗类测评。其中，ATT&CK for Enterprise测评发展得最久的测评项目，截至目前已经进行了四轮测评，第五轮测评正在进行中。

图7 ATT&CK for Enterprise测评（2022）的技术范围

攻击模拟是通过模拟真实世界的攻击行为来测试网络安全防御能力的方法，旨在评估组织对高级威胁和APT的应对能力。攻击模拟可以帮助组织发现安全漏洞、修复弱点、提高员工的安全意识以及改进安全策略和流程。攻击模拟通常由红队或紫队负责，他们模拟真实攻击者使用的战术、技术和步骤（TTPs），利用真实的威胁情报进行攻击，以便检测组织的安全措施是否足够强大以及响应能力是否快速有效。攻击模拟可分为三种不同类型：全流程模拟、微模拟和原子测试。全流程模拟包括多个攻击阶段和多个技术，在攻击过程中模拟出真实的攻击场景。微模拟则专注于某一具体攻击阶段或技术的模拟，以深入理解它们的影响和后果。原子测试则是单一技术的模拟，主要用于检测特定漏洞或弱点。虽然有许多不同的框架可用于开展模拟攻击练习，不过，由于 MITRE ATT&CK 框架是根据真实攻击行为形成的广泛知识库，它成为很多人开展模拟攻击的参考框架。本次更新对三种不同类型的模拟进行了详细介绍。

图8 微模拟与原子测试、全流程模拟的对比

在与ATT&CK框架进行映射时，通常有两种常用方式：根据事件报告进行映射；根据原始数据进行映射。在根据事件报告进行映射时，分析人员需要通过搜索表示攻击行为的迹象而非IoC、哈希值、URL、IP等工件来找出攻击行为，然后根据上下文信息研究攻击行为，将攻击行为转化为战术，并最终确定适用于该行为的技术和子技术。在根据原始数据进行映射时，分析人员可以从数据源入手来分析攻击者的攻击对象、操作步骤和攻击方式；也可以从特定的工具或属性入手，然后逐步扩大范围，确定攻击的攻击技术；也可以从制定分析方案入手，进行数据关联和检测分析。

图9 ATT&CK映射实践的两种常用方式

在网络安全领域，虽然基于签名和基于异常的检测方法被广泛应用，但存在各自的局限性。越来越多的实验数据表明，采用基于攻击战术、技术和步骤（TTPs）的威胁狩猎方法可以更加有效地检测恶意活动。这种方法利用攻击者所使用的有限技术、系统以及攻击方式来筛选和收集数据，并且投资成本相对较低，效率更高。这三种不同的检测方法并不是相互排斥的，而是相互补充的，但采用基于TTPs的威胁狩猎方法可以带来更大的收益。如下图所示，基于TTPs的威胁狩猎方法有两个组成部分：恶意活动表征和威胁狩猎执行。这两部分都是持续的活动，根据关于攻击者和攻击形势的新信息不断地更新。

图10 信息的更新流程

青藤连续多年参与攻防实战，几乎覆盖了所有参演单位，并为多家单位担任主防。在一线的攻防实战经验中，青藤总结了一份自己的《MITRE ATT&CK框架（攻防实战版本）》。在攻防实战来临之际，相信这份作战指挥图定能为您迎接挑战助一臂之力。【不要问，问就是在新书里，赶快去参加文末的领书活动吧】

图11 MITRE ATT&CK框架（攻防实战版本）

系统化的研究

实战化的内容

精美实用的挂图作战指挥图

五位安全老兵联袂撰写

数十名权威专家权威推荐

《ATT&CK框架实践指南》第2版

现已全面升级

你值得拥有

动动你的手指

即刻带它回家吧

ATT＆CK框架实践指南（第2版）

目录

▼

第一部分 ATT＆CK 入门篇

第1章 潜心开始 MITRE ATT＆CK 之旅

1.1 MITRE ATT＆CK 是什么

1.1.1 MITRE ATT＆CK 框架概述

1.1.2 ATT＆CK 框架背后的安全哲学

1.1.3 ATT＆CK 框架与 Kill Chain 模型的对比

1.1.4 ATT＆CK 框架与痛苦金字塔模型的关系

1.2 ATT＆CK 框架七大对象

1.3 ATT＆CK 框架实例说明

1.3.1 ATT＆CK 战术实例

1.3.2 ATT＆CK 技术实例

1.3.3 ATT＆CK 子技术实例

第2章 基于 ATT＆CK 框架的扩展知识库

2.1 针对容器的 ATT＆CK 攻防知识库

2.1.1 执行命令行或进程

2.1.2 植入恶意镜像实现持久化

2.1.3 通过容器逃逸实现权限提升

2.1.4 绕过或禁用防御机制

2.1.5 基于容器 API 获取权限访问

2.1.6 容器资源发现

2.2 针对 Kubernetes 的攻防知识库

2.2.1 通过漏洞实现对 Kubernetes 的初始访问

2.2.2 执行恶意代码

2.2.3 持久化访问权限

2.2.4 获取更高访问权限

2.2.5 隐藏踪迹绕过检测

2.2.6 获取各类凭证

2.2.7 发现环境中的有用资源

2.2.8 在环境中横向移动

2.2.9 给容器化环境造成危害

2.3 针对内部威胁的 TTPs 攻防知识库

2.3.1 内部威胁 TTPs 知识库的研究范围

2.3.2 与 ATT＆CK 矩阵的关系

2.3.3 内部威胁者常用策略

2.3.4 针对内部威胁的防御措施

2.4 针对网络安全对策的知识图谱 MITRE D3FEND

2.4.1 建立 D3FEND 的原因

2.4.2 构建 MITRE D3FEND 的方法论

2.5 针对软件供应链的 ATT＆CK 框架 OSC＆R

第二部分 ATT＆CK 提高篇

第3章 十大攻击组织/恶意软件的分析与检测

3.1 TA551 攻击行为的分析与检测

3.2 漏洞利用工具 Cobalt Strike 的分析与检测

3.3 银行木马 Qbot 的分析与检测

3.4 银行木马 lcedlD 的分析与检测

3.5 凭证转储工具 Mimikatz 的分析与检测

3.6 恶意软件 Shlayer 的分析与检测

3.7 银行木马 Dridex 的分析与检测

3.8 银行木马 Emotet 的分析与检测

3.9 银行木马 TrickBot 的分析与检测

3.10 蠕虫病毒 Gamarue 的分析与检测

第4章 十大高频攻击技术的分析与检测

4.1 命令和脚本解析器（T1059）的分析与检测

4.1.1 PowerShell（T1059.001）的分析与检测

4.1.2 Windows Cmd Shell（T1059.003）的分析与检测

4.2 利用已签名二进制文件代理执行（T1218）的分析与检测

4.2.1 Rundll32（T1218.011）的分析与检测

4.2.2 Mshta（T1218.005）的分析与检测

4.3 创建或修改系统进程（T1543）的分析与检测

4.4 计划任务/作业（T1053）的分析与检测

4.5 OS 凭证转储（T1003）的分析与检测

4.6 进程注入（T1055）的分析与检测

4.7 混淆文件或信息（T1027）的分析与检测

4.8 入口工具转移（T1105）的分析与检测

4.9 系统服务（T1569）的分析与检测

4.10 伪装（T1036）的分析与检测

第5章 红队视角：典型攻击技术的复现

5.1 基于本地账户的初始访问

5.2 基于 WMI 执行攻击技术

5.3 基于浏览器插件实现持久化

5.4 基于进程注入实现提权

5.5 基于 Rootkit 实现防御绕过

5.6 基于暴力破解获得凭证访问权限

5.7 基于操作系统程序发现系统服务

5.8 基于 SMB 实现横向移动

5.9 自动化收集内网数据

5.10 通过命令与控制通道传递攻击载荷

5.11 成功窃取数据

5.12 通过停止服务造成危害

第6章 蓝队视角：攻击技术的检测示例

6.1 执行：T1059 命令和脚本解释器的检测

6.2 持久化：T1543.003 创建或修改系统进程（Windows 服务）的检测

6.3 权限提升：T1546.015 组件对象模型劫持的检测

6.4 防御绕过：T1055.001 DLL 注入的检测

6.5 凭证访问：T1552.002 注册表中的凭证的检测

6.6 发现：T1069.002 域用户组的检测

6.7 横向移动：T1550.002 哈希传递攻击的检测

6.8 收集：T1560.001 通过程序压缩的检测

第7章 不同形式的攻击模拟

7.1 基于红蓝对抗的全流程攻击模拟

7.1.1 模拟攻击背景

7.1.2 模拟攻击流程

7.2 微模拟攻击的概述与应用

7.2.1 微模拟攻击计划概述

7.2.2 微模拟攻击的应用

第三部分 ATT＆CK 场景与工具篇

第8章 ATT＆CK 应用工具与应用项目

8.1 ATT＆CK 四个关键项目工具

8.1.1 Navigator 项目

8.1.2 CARET 项目

8.1.3 TRAM 项目

8.1.4 Workbench 项目

8.2 ATT＆CK 实践应用项目

8.2.1 红队使用项目

8.2.2 蓝队使用项目

8.2.3 CTI 团队使用

8.2.4 CSO 使用项目

第9章 ATT＆CK 四大实践场景

9.1 ATT＆CK 的四大使用场景

9.1.1 威胁情报

9.1.2 检测分析

9.1.3 模拟攻击

9.1.4 评估改进

9.2 ATT＆CK 实践的常见误区

第四部分 ATT＆CK 运营实战篇

第10章 数据源是应用 ATT＆CK 的前提

10.1 当前 ATT＆CK 数据源急需解决的问题

10.1.1 定义数据源

10.1.2 标准化命名语法

10.1.3 确保平台一致性

10.2 改善 ATT＆CK 数据源的使用情况

10.2.1 利用数据建模

10.2.2 通过数据元素定义数据源

10.2.3 整合数据建模和攻击者建模

10.2.4 扩展 ATT＆CK 数据源对象

10.2.5 使用数据组件扩展数据源

10.3 ATT＆CK 数据源的标准化定义与运用示例

10.3.1 改进进程监控

10.3.2 改进 Windows 事件日志

10.3.3 子技术用例

10.4 数据源在安全运营中的运用

第11章 MITRE ATT＆CK 映射实践

11.1 将事件报告映射到 MITRE ATT＆CK

11.2 将原始数据映射到 MITRE ATT＆CK

11.3 映射到 MITRE ATT＆CK 时的常见错误与偏差

11.4 通过 MITRE ATT＆CK 编写事件报告

11.5 ATT＆CK for ICS 的映射建议

第12章 基于 ATT＆CK 的安全运营

12.1 基于 ATT＆CK 的运营流程

12.1.1 知己：分析现有数据源缺口

12.1.2 知彼：收集网络威胁情报

12.1.3 实践：分析测试

12.2 基于 ATT＆CK 的运营评估

12.2.1 将 ATT＆CK 应用于 SOC 的步骤

12.2.2 将 ATT＆CK 应用于 SOC 的技巧

第13章 基于 ATT＆CK 的威胁狩猎

13.1 ATT＆CK 让狩猎过程透明化

13.2 基于 TTPs 的威胁狩猎

13.2.1 检测方法和数据类型分析

13.2.2 威胁狩猎的方法实践

13.3 基于重点战术的威胁狩猎

13.3.1 内部侦察的威胁狩猎

13.3.2 持久化的威胁狩猎

13.3.3 横向移动的威胁狩猎

第14章 多行业的威胁狩猎实战

14.1 金融行业的威胁狩猎

14.2 企业机构的威胁狩猎

第五部分 ATT＆CK 生态篇

第15章 攻击行为序列数据模型 Attack Flow

15.1 Attack Flow 的组成要素

15.2 Attack Flow 用例

15.3 Attack Flow 的使用方法

第16章 主动作战框架 MITRE Engage

16.1 MITRE Engage 介绍

16.1.1 详解 MITRE Engage 矩阵结构

16.1.2 MITRE Engage 与 MITRE ATT＆CK 的映射关系

16.1.3 Engage 与传统网络阻断、网络欺骗间的关系

16.2 MITRE Engage 矩阵入门实践

16.2.1 如何将 Engage 矩阵整合到企业网络战略中来

16.2.2 Engage 实践的四要素

16.2.3 Engage 实践落地流程：收集、分析、确认、实施

16.2.4 对抗作战实施：10 步流程法

第17章 ATT＆CK 测评

17.1 测评方法

17.2 测评流程

17.3 测评内容

17.3.1 ATT＆CK for Enterprise 测评

17.3.2 ATT＆CK for ICS 测评

17.3.3 托管服务测评

17.3.4 欺骗类测评

17.4 测评结果

17.5 总结

附录 A ATT＆CK 战术及场景实践

附录 B ATT＆CK 版本更新情况

ATT＆CK框架实践指南（第2版）

赠书活动须知

▼

1、关注本公众号，给本文点在看、点赞；

2、转发本文到朋友圈（分组无效），转发的早优先，不转发无法参与赠书；

3、在本文底部留言-您的职务+从事网络安全行业年限（例如：渗透测试工程师 5年）留言点赞前4各获赠《ATT＆CK框架实践指南（第2版）》纸质书一本（如果留言前4中有没转发本文到朋友圈的，视为无效，同时点赞第5、6……入选，以此类推）；

4、活动截止 7月29日12：00，届时请点赞前4把转发本文的截图发至如下微信：（符合获赠条件者留下快递信息，以便邮寄）

ATT＆CK框架实践指南（第2版）

直接在线购买

▼