淺談威脅狩獵(Threat Hunting)
威脅狩獵,顧名思義,就是在網(wǎng)絡(luò)安全的世界中尋找威脅,威脅每天都在變化。因此,開(kāi)發(fā)新技術(shù)來(lái)防御和檢測(cè)各種類型的威脅和攻擊是我們的責(zé)任。
從威脅狩獵的定義開(kāi)始,通過(guò)主動(dòng)和被動(dòng)的方式搜尋網(wǎng)絡(luò)中想逃避安全解決方案的高級(jí)威脅的過(guò)程。
威脅狩獵不是一種技術(shù),而是一種方法。作為一名安全分析師,威脅獵捕是以有效地運(yùn)用我們的只是發(fā)現(xiàn)網(wǎng)絡(luò)環(huán)境中的任何異常情況。
威脅獵人使用批判性思維能力和創(chuàng)造力來(lái)查看正常得網(wǎng)絡(luò)行為并能夠識(shí)別異常的行為。
一、為什么要做威脅狩獵?
在傳統(tǒng)的安全監(jiān)視方法中,大多數(shù)藍(lán)隊(duì)成員基于SIEM或其他安全設(shè)備觸發(fā)的警報(bào)來(lái)尋找威脅。 除了警報(bào)驅(qū)動(dòng)的方法之外,為什么我們不能添加一個(gè)連續(xù)的過(guò)程來(lái)從數(shù)據(jù)中查找內(nèi)容,而沒(méi)有任何警報(bào)促使我們發(fā)生事件。 這就是威脅搜尋的過(guò)程,主動(dòng)尋找網(wǎng)絡(luò)中的威脅。 可以使用此過(guò)程來(lái)查找現(xiàn)有安全解決方案無(wú)法識(shí)別的威脅或繞過(guò)解決方案的攻擊。 因此,為什么不能將其驅(qū)動(dòng)為警報(bào)驅(qū)動(dòng),原因是警報(bào)驅(qū)動(dòng)主要是某種數(shù)字方式而非行為方式。
威脅狩獵的方法:
- 人工測(cè)試–分析人員需要不斷尋找可能是入侵證據(jù)/指示的任何事物。
- 對(duì)于威脅獵人而言,保持最新的安全研究非常重要。
- 自動(dòng)化/機(jī)器輔助-分析師使用利用“機(jī)器學(xué)習(xí)”和“ UEBA”功能的軟件來(lái)告知分析師潛在風(fēng)險(xiǎn)。
- 它有助于提供預(yù)測(cè)性和規(guī)范性分析。
- 威脅情報(bào)源增加了分析。
二、如何進(jìn)行獵捕?
請(qǐng)遵循以下提到的步驟:
- 建立假設(shè)–假設(shè)意味著您要查找的內(nèi)容,例如查找與Internet等建立連接的powershell命令。
- 收集數(shù)據(jù)–根據(jù)假設(shè),更加狩獵查找您需要的數(shù)據(jù)。
- 測(cè)試假設(shè)并收集信息–收集數(shù)據(jù)后,根據(jù)行為,搜索查詢來(lái)查找威脅。
- 自動(dòng)化某些任務(wù)–威脅搜尋永遠(yuǎn)不能完全自動(dòng)化,而只能是半自動(dòng)化。
- 實(shí)施威脅搜尋–現(xiàn)在,不執(zhí)行即席搜尋,而是實(shí)施您的搜尋程序,以便我們可以連續(xù)進(jìn)行威脅搜尋。
三、如何產(chǎn)生假設(shè)?
只需閱讀文章,安全新聞,新的APT公開(kāi)報(bào)告,Twitter和一些安全網(wǎng)站可獲得。 威脅獵捕是對(duì)各種數(shù)據(jù)源(例如端點(diǎn),網(wǎng)絡(luò),外圍等)執(zhí)行的。它只是有效地運(yùn)用我們的知識(shí)來(lái)發(fā)現(xiàn)異常。 需要批判性思維能力。 由威脅指數(shù)(IOC)組成的威脅情報(bào)在執(zhí)行狩獵過(guò)程中也起著重要作用。
四、MITER ATT&CK輔助威脅獵捕
大多數(shù)威脅獵捕平臺(tái)都使用“ Attack MITRE”對(duì)手模型。 MITER ATT&CK™是基于現(xiàn)實(shí)世界觀察結(jié)果的全球?qū)剐詰?zhàn)術(shù)和技術(shù)知識(shí)庫(kù)。 Attack MITER還提出了一個(gè)名為“ CAR”的網(wǎng)絡(luò)分析存儲(chǔ)庫(kù)。 MITER團(tuán)隊(duì)列出了所有這些對(duì)手的行為,并且攻擊者在受害機(jī)器上執(zhí)行的攻擊媒介。 它基于歷史爆發(fā)為您提供了描述以及有關(guān)威脅的一些參考。 它使用TTP的戰(zhàn)術(shù),技術(shù)和程序,并將其映射到網(wǎng)絡(luò)殺傷鏈。 大多數(shù)威脅獵捕方法都使用Mitre框架來(lái)執(zhí)行搜尋過(guò)程。
五、實(shí)現(xiàn)威脅獵捕
現(xiàn)在,要執(zhí)行獵捕,我們需要假設(shè),并且在生成假設(shè)之后,我們可以根據(jù)所使用的任何平臺(tái)來(lái)獵捕或搜索攻擊。 為了檢驗(yàn)假設(shè),您可以使用任何可用的工具,例如Splunk,ELK Stack等,但是在開(kāi)始獵捕之前,請(qǐng)妥善保管數(shù)據(jù)。 Florian Roth為SIEM簽名提出了一種新的通用格式– SIGMA。 大多數(shù)Mitre Att&ck技術(shù)都映射到Sigma規(guī)則,這些規(guī)則可以直接合并到您的SIEM平臺(tái)中以進(jìn)行威脅獵捕。 還可將Sigma轉(zhuǎn)換為Splunk,arcsight,ELK。
可以在Google工作表上找到Sigma規(guī)則轉(zhuǎn)換準(zhǔn)備好的列表:
- 威脅獵捕永遠(yuǎn)無(wú)法實(shí)現(xiàn)自動(dòng)化,但是某些部分可以做到,例如可以在SIEM中直接警告這些sigma規(guī)則,但是調(diào)查和分類的后面部分需要人工操作。
- 威脅獵捕也可以由分析驅(qū)動(dòng)。 用來(lái)進(jìn)行風(fēng)險(xiǎn)評(píng)分的機(jī)器學(xué)習(xí)和UEBA也可以用作狩獵假設(shè)。 大多數(shù)網(wǎng)絡(luò)分析平臺(tái)都利用此UEBA,ML功能來(lái)識(shí)別異常。
六、威脅狩獵
1.運(yùn)行mimikatz命令進(jìn)行哈希轉(zhuǎn)儲(chǔ)在Word或excel文件打開(kāi)powershell –要檢查此假設(shè),請(qǐng)首先查找數(shù)據(jù),我們是否有適當(dāng)?shù)臄?shù)據(jù)來(lái)尋找該假設(shè),然后尋找winword.exe /execl.exe進(jìn)程來(lái)創(chuàng)建powershell.exe ,以及包含(mimikatz)的命令行。
2.從Internet下載文件–查找用于從瀏覽器以外的Internet下載文件的過(guò)程,certutil.exe,hh.exe可以相同。
3.Powershell下載支持event_data.CommandLine:(* powershell * * pwsh * * SyncAppvPublishingServer *)和event_data.CommandLine:(* BitsTransfer * * webclient * * DownloadFile * * downloadstring * * wget * * curl * * WebRequest * * WinHttpRequest * iwr irm “ * internetExplorer.Application *”“ * Msxml2.XMLHTTP *”“ * MsXml2.ServerXmlHttp *”)
七、機(jī)器學(xué)習(xí)和威脅獵捕
機(jī)器學(xué)習(xí)在網(wǎng)絡(luò)威脅獵捕中起著重要作用。 可以使用多種算法,例如分類,聚類等,基于SIEM中的日志來(lái)識(shí)別任何種類的異常和異常值。 機(jī)器學(xué)習(xí)在協(xié)助尋找威脅方面起著輔助作用,因?yàn)樗鼮槲覀兲峁┝水惓V担治鰩煂⑦M(jìn)一步投資以尋找威脅。
