『威胁狩猎』基础概念以及流程实例分享

admin 2024年12月16日11:35:39评论136 views字数 1750阅读5分50秒阅读模式

『威胁狩猎』基础概念以及流程实例分享

全文共计1316字,预计阅读6分钟

近年来,威胁狩猎已成为网络安全的重要组成部分。然而,威胁狩猎的定义仍然是一个问题。根据你询问的对象不同,对于威胁狩猎以及如何使用它有着不同的解释。

威胁狩猎是什么

威胁狩猎是一种主动和可持续的网络安全方法论,旨在提前识别和缓解威胁,避免其对组织造成重要影响。与依赖于响应的威胁检测技术不同。威胁狩猎的核心是基于假设驱动的原则,鼓励安全专业人员采取更主动和持续的监控方式,寻找到可能已经绕过传统防御措施的威胁痕迹和证据。

威胁狩猎所需要具备的能力

要识别和检查威胁,需要熟悉MISP等威胁情报平台以及Splunk, ELK等安全信息和事件管理平台(SIEM)工具。对MITRE ATT&CK框架的了解也有助于识别某些攻击中所使用的不同战术和技术。

对威胁狩猎的误解

正如上面提到的,许多人误以为威胁狩猎是一项被动反应的任务。简单地说,威胁狩猎不应该以网络安全告警作为狩猎的契机或只是通过一组IOC来调查。这些活动应是网络安全分析师工作的一部分。下面我列举了一些例子来说明我的观点:

好的例子(基于假设驱动的威胁狩猎)

  1. 攻击者正在使用恶意的计划任务维持权限持久化

    • 狩猎方法:根据名称,可执行文件,计划任务的频率来查找异常的计划任务
  2. 攻击者正在泄漏大量数据

    • 狩猎方法:基于大量的网络遥测数据,查找对于文件上传网站的异常访问

坏的例子

  1. 从威胁情报报告中提取IOC,比对数据源中是否有命中的情况

  2. 调查一个用户机器上的恶意文档所产生的告警

基于之前的例子,假设威胁猎手能够访问所需的遥测数据。如果有特定的数据源无法使用或者缺失,威胁猎手应该记录遥测数据的缺陷,创建追踪案例并修复缺失。

威胁狩猎的实战流程

在本节中,我将使用上面给出的一个威胁搜寻示例,来解释这个过程的不同步骤。

基于攻击技术的狩猎实例

1. 建立假设

寻找源自 MicrosoftWord 文档的可疑进程执行活动。

  • Mitre ATT&CK ID: T1204.002 (Execution)

2. 建立证据

  • Winword.exe 创建了子进程。
  • Winword.exe 向其它进程中注入了恶意代码。
  • Winword.exe 从公网服务器上下载了二进制文件。

3. 识别数据源

  • 进程执行日志
  • 注册表修改日志HKCU:SOFTWAREMicrosoftOffice16.0WordSecurityTrusted DocumentsTrustRecords

4. 识别字段和值

  • ParentProcessName: winword.exe
  • ProcessName: (cmd.exe|powershell.exe|rundll32.exe|regsvr32.exe|wscript.exe|cscript.exe|mshta.exe)

5. 查询数据 Splunk查询:

Source=*sysmon* EventCode=1 ((ParentImage=”*\WINWORD.EXE”) AND (Image=”*\cmd.exe” OR Image=”*\powershell.exe” OR Image=”*\rundll32.exe” OR Image=”*\regsvr32.exe” OR Image=”*\mshta.exe” OR Image=”*\certutil.exe” OR Image=”*\wscript.exe” OR Image=”*\cscript.exe”))

6. 分析数据 下图是所查询和观察到的可疑行为:

『威胁狩猎』基础概念以及流程实例分享

威胁狩猎的目标和指标

尽管人们赋予威胁狩猎不同的含义,但总体目标是相同的。这些核心目标包括:

  1. 主动搜索威胁

  2. 调查异常现象

  3. 调查遥测数据差距

  4. 减少威胁检测告警的误报率

  5. 减少威胁检测时间

基于节省的时间和安全事件的潜在影响,组织可以获得高投资回报率(ROI)。此外,所有上述威胁狩猎目标的成功都可以被衡量和跟踪。其中一些指标可能包括:

  1. 狩猎发现的数量

  2. 遥测数据的缺口

  3. 安全提升建议

  4. 一次成功的威胁狩猎之后创建的检测规则数量

安全管理团队可以使用这些指标来展示威胁狩猎团队的影响和价值,以及威胁狩猎的结果如何直接转化为组织节省的资金。

请关注SecLink安全空间获取我们最新的更新

欢迎加入SecLink安全空间探讨安全问题!

『威胁狩猎』基础概念以及流程实例分享

原文始发于微信公众号(SecLink安全空间):『威胁狩猎』基础概念以及流程实例分享

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年12月16日11:35:39
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   『威胁狩猎』基础概念以及流程实例分享https://cn-sec.com/archives/3513151.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息