书名：ATT&CK视角下的红蓝对抗实战指南
作者：贾晓璐、李嘉旭、党超辉
ISBN：978-7-111-73374-4
出版社：机械工业出版社
出版日期：2023.07
这是一本能同时帮助红队和蓝队建立完整攻击和防御知识体系的著作，也是一本既能指导企业建设和完善网络安全防御系统，又能打造安全工程师个人安全能力护城河的著作。全书以ATT&CK框架模型为基座，系统、详细地讲解了信息收集、隧道穿透、权限提升、凭据获取、横向渗透、持久化6大阶段所涉及的技术原理、攻击手段和防御策略。既能让红队理解攻击的本质、掌握实战化的攻击手段，又能让蓝队看透红队的攻击思路，从而构建更为强大的防御体系。本书的宗旨是“以攻促防、以战训战”，所以书中精心整理了大量来自实践的攻防案例，每个案例都提供了详细的思路、具体的步骤，以及实战中的经验、技巧和注意事项，尽可能让读者感受到真实的攻防对抗氛围。本书内容丰富，讲解又极为细致，所以篇幅巨大，具体包含如下7个方面的内容。1.Windows安全基础：详细介绍Windows的安全认证机制（NTLM认证、Kerberos域认证）、协议（LLMNR、NetBIOS、WPAD、LDAP）和域的基础知识。2.信息收集：详细讲解主机发现、Windows/Linux操作系统信息收集、组策略信息收集、域控相关信息收集、Exchange信息收集等各种信息收集手段。3.隧道穿透：全面、透彻讲解隧道穿透技术基础知识、利用多协议进行隧道穿透的方法、常见的隧道利用工具，以及检测防护方法。4.权限提升：详细讲解内核漏洞提权、错配漏洞提权、第三方服务提权等红蓝对抗中常用的提权手法，既讲解这些手法在实际场景中的利用过程，又提供针对性的防御手段。5.凭据获取：从攻击和防御两个维度，详细讲解主要的凭证域内凭证获取手法，包括软件凭证获取、本地凭证获取、域内凭证等。6.横向移动：全面分析利用任务计划、远程服务、组策略、WSUS、SCCM、Psexec、WMI等系统应用服务及协议进行横向移动的原理与过程。7.持久化：既详细讲解红队常用的持久化手法，如Windows持久化、Linux持久化、Windows域权限维持等，又系统分析蓝队针对持久化攻击的检测和防御思路。