威胁狩猎

吉沃运营专员

一、介绍

威胁狩猎不一定很复杂，但并不适合所有人。知道如何开始和结束狩猎比知道如何进行狩猎更重要，如果需要一个起点，请查看威胁形势的趋势，并专注于没有自动警报/检测的威胁。狩猎是一个创造性的过程，对那些抓住机会的人给予回报。完成一些事情，任何可操作的事情 —— 只要它提供价值。

二、指南和参考

• Threat Hunter Playbook - 一个基于社区的开源项目，旨在通过利用来自不同操作系统的安全事件日志来分享威胁狩猎概念并帮助开发狩猎活动的技术和假设；
• huntpedia.pdf  - 由经验丰富的威胁猎手撰写的关于他们的技术和理论的书；
• Open Threat Research Forge - 威胁狩猎文章、剧本和工具的 Github 存储库；
• Awesome Lists Collection - 优秀的威胁检测和狩猎；
  
  • awesome-threat-detection/hunt-evil.pdf
  • awesome-threat-detection/The-Hunters-Handbook.pdf
    
• ACM's Threat Hunting Labs - 涵盖了在寻找威胁时可以对网络数据进行的不同类型的分析；
• A Simple Hunting Maturity Model | Enterprise Detection & Response；
• HowToHunt - 寻找漏洞的教程和要做的事情；
• ThreatHunting Home - 有关流行威胁搜寻程序的链接和博客；
• Tool Analysis Result Sheet - JP-CERT 分析检测网络环境中多种流行工具的使用情况；
  

2.1 使用 MITRE ATTACK 进行狩猎

• MITRE ATT&CKcon 2018: Hunters ATT&CKing with the Data, Roberto Rodriguez, SpecterOps and Jose Luis Rodriguez, Student
• Testing the Top MITRE ATT&CK Techniques: PowerShell, Scripting, Regsvr32
• Ten Ways Zeek Can Help You Detect the TTPs of MITRE ATT&CK
• Post-Exploitation Hunting with ATT&CK & Elastic
• How MITRE ATT&CK helps security operations
• MITRE Cyber Analytics Repository
• MITRE ATT&CK Windows Logging Cheat Sheets
• Defensive Gap Assessment with MITRE ATT&CK
• Prioritizing the Remediation of Mitre ATT&CK Framework Gaps
• Finding Related ATT&CK Techniques
• Getting Started with ATT&CK: Detection and Analytics
• Mapping your Blue Team to MITRE ATT&CK™
  

2.2 DNS 捕获

• Alternative DNS Techniques - Active Countermeasures
• SANS@MIC -Threat Hunting via DNS - SANS Institute
  

三、工具

• OS/VM
  
  • RedHunt-OS - RedHunt Labs 用于攻击仿真和威胁搜寻的虚拟机
  • ThreatPursuit-VM - 一个完全可定制、开源的基于 Windows 的发行版，专注于威胁情报分析和搜寻，专为英特尔和恶意软件分析师以及威胁搜寻者设计，以快速启动和运行
    
• 平台
  
  • HELK: The Hunting ELK -  Hunting ELK (简称 HELK) 是首批具有高级分析功能的开源狩猎平台之一，例如 SQL 声明性语言、图形、结构化流，甚至通过 Jupyter notebooks 和 ELK stack 上的 Apache Spark 进行机器学习
  • ACM's AI-Hunter - 用于在网络上搜索和检测恶意软件的平台
    
• ThreatHunter's Toolkit - Threat Hunting Toolkit 是一把瑞士军刀，用于威胁追踪、日志处理和以安全为中心的数据科学
  
  • https://www.blackhillsinfosec.com/wp-content/uploads/2021/11/SLIDES_LookingforNeedlesinNeedlestacks.pdf
  • https://www.youtube.com/watch?v=q7ai6P-cHaQ&t=2107s
    
• DNS
  
  • freq.py - Mark Baggett 使用 NLP 技术而不是纯粹的熵计算来检测随机性的工具，使用字符对频率分析来确定测试字符串出现的可能性；
  • domain_stats - Domain Status 是一个日志增强实用程序，旨在帮助你发现环境中的威胁；
  • dnstwist -  用于检测同形异义词网络钓鱼攻击、拼写错误和品牌冒充的域名排列引擎；
    
• 其它
  
  • Awesome Lists Collection: Cobalt Strike Defense
  • DeepBlueCLI  - 通过 Windows 事件日志进行威胁搜寻的 PowerShell 模块；
  • LogonTracer - LogonTracer 是一种通过可视化和分析 Windows Active Directory 事件日志来调查恶意登录的工具；
  • APT-Hunter - 由紫队制作的 Windows 事件日志威胁搜寻工具，可检测隐藏在 Windows 事件日志海洋中的 APT 移动，以减少发现可疑活动的时间；
  • PSHunt - Powershell 威胁狩猎模块；
  • PSRecon -  使用 PowerShell (v2 或更高版本) 从远程 Windows 主机收集数据，将数据组织到文件夹中，对所有提取的数据进行哈希处理，对 PowerShell 和各种系统属性进行哈希处理，并将数据发送给安全团队。数据可以共享、通过电子邮件发送或在本地保留；
  • Mihari -  基于 OSINT 的持续威胁追踪框架；
  • Oriana - 一种威胁搜寻工具，它利用 Windows 事件的子集来建立关系、计算总数和运行分析，结果显示在 Web 层中，以帮助防御者识别企业环境中的异常值和可疑行为；
  • rastrea2r - 一种多平台开源工具，允许事件响应者和 SOC 分析师在几分钟内对可疑系统进行分类并在数千个端点上寻找危害指标 (IOC)
  • Zircolite - 用于 EVTX 的基于 SIGMA 的独立检测工具；
  • chainsaw - 通过 Windows 事件日志快速搜索和搜寻；
  • https://www.nextron-systems.com/thor-lite/ - 快速灵活的多平台 IOC 和 YARA 扫描器；
    

3.1 Splunkhunting

• Splunk Apps
  
  • ThreatHunting | Splunkbase
  • URL Toolbox | Splunkbase
  • URLParser | Splunkbase
  • Splunk Security Essentials | Splunkbase
  • SA-Investigator for Enterprise Security | Splunkbase
  • DFUR-Splunk-App -  在 2020 年 SANS DFIR 峰会上展示的 "DFUR" Splunk 应用程序和数据
  • CyberMenace - Splunk 中的一站式搜索应用程序，可以摄取 Zeek、Suricata、Sysmon 和 Windows 事件数据，以查找与 MITRE ATT&CK Matrix 相关的恶意危害指标
    
• Splunk 捕获资源
  
  • Hunting with Splunk: The Basics
  • ATT&CKized Splunk - Threat Hunting with MITRE’s ATT&CK using SplunkSecurity Affairs
  • Detecting malware beacons using Splunk | geekery
  • red|blue: Automating APT Scanning with Loki Scanner and Splunk
  • Detecting dynamic DNS domains in Splunk | Splunk
  • hunting_the_known_unknowns_with_DNS.pdf
  • https://www.deepwatch.com/blog/threat-hunting-in-splunk/
  • SEC1244 - Cops and Robbers: Simulating the Adversary to Test Your Splunk Security Analytics
    

视频演示：https://www.youtube.com/watch?v=ST0cuppJ2nc

四、狩猎理论

• 狩猎类型 - 这会在威胁狩猎理论家之间引起一些分歧，但这是常见的思维过程，有 3 种类型的狩猎：
• 亨特假设的 3 种类型
  
  • 威胁情报 - 这些是针对特定指标的搜索，这些都是容易实现的目标，随后应将指标添加到存在的任何警报机制中。
    
    • 自动化 - IoC 摄取，应由 SIEM 和 SOAR 执行
    • 持续 - 态势感知和行为分析，如果这些可以变成警报搜索，那就更好了，否则，应该以合理的时间间隔安排。
    • 按需 - 寻找特定活动，这通常具有时间元素，例如对给定智能的响应。
      
  • 态势感知 - 这些搜寻用于查看正常的系统和网络操作并识别正常操作之外的活动，这可能包括事件的数量/频率、某些活动的方法或与某些事件相关的特定数据点的变化。
    
    • 最大的威胁搜寻技能之一不仅是查看哪些数据不属于，还要查看哪些数据丢失。
      
  • 领域专业知识 - 这是一项需要对本地环境有特定了解的专业知识，这些搜寻寻找与情境意识类似的项目，并增加了在特定组织运营中寻找怪异的背景，其中许多将违反公司政策或当地惯例和标准。
    
• 狩猎决定
  
  • 这种狩猎可以自动化吗？
  • 这种狩猎可以重复吗？
  • 此搜寻中的指标是否由其他服务监控？
  • 我们是否已经对这些指标进行了强化？
    
• 狩猎策略问题：
  
  • 你准备狩猎什么？
  • 你会在哪里找到它？
  • 你将如何找到它？
  • 你什么时候能找到它？
  • 从钻石模型中的每一点提出这些问题
    
• a-simple-hunting-maturity-model
• the-pyramid-of-pain
  
  • Threat Hunting with Elastic Stack - pg. 29
    

五、技术

5.1 可重复的狩猎

这些是可以而且应该定期执行的狩猎理论和搜索。

• ThreatHuntingProject's Hunts List
• Windows Commands Abused by Attackers - JPCERT
• Cisco Talos Intelligence Group - Comprehensive Threat Intelligence: Hunting for LoLBins
• ThreatHunting.se Hunt Posts
• https://github.com/paladin316/ThreatHunting
  

5.2 Long Tail 分析

https://www.ericconrad.com/2015/ ... th-eric-conrad.html

5.3 Crown Jewel 分析

准备 CJA 要求组织执行以下操作：

• 确定组织的核心使命
• 将任务映射到它所依赖的资产和信息
• 发现并记录网络上的资源
• 构建攻击图 → 确定对其他系统或信息的依赖关系 → 分析资产及其互连的潜在攻击路径 → 根据严重程度对任何潜在漏洞进行评级
• 这种类型的分析允许猎手通过生成关于可能对组织影响最大的威胁的假设来优先考虑保护他们的目标
• Crown Jewel Analysis - Crafting the Infosec Playbook: pg. 21
  

5.4 其它

• Finding the Elusive Active Directory Threat Hunting - 2017-BSidesCharm-DetectingtheElusive-ActiveDirectoryThreatHunting-Final.pdf
• Quantify Your Hunt: Not Your Parent’s Red Teaming Redux
• 2019 Threat Detection Report
• A Process is No One : Hunting for Token Manipulation
• https://pberba.github.io/securit ... on-auditd-webshell/
• https://github.com/schwartz1375/aws - Repo for threat hunting in AWS.