DecoyMini 技术交流社区

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
查看: 6937|回复: 0

[蓝队] 威胁狩猎

[复制链接]

188

主题

35

回帖

30

荣誉

Rank: 9Rank: 9Rank: 9

UID
2
积分
354
精华
1
沃币
2 枚
注册时间
2021-6-24

论坛管理

发表于 2022-3-25 11:14:06 | 显示全部楼层 |阅读模式

一、介绍




威胁狩猎不一定很复杂,但并不适合所有人。知道如何开始和结束狩猎比知道如何进行狩猎更重要,如果需要一个起点,请查看威胁形势的趋势,并专注于没有自动警报/检测的威胁。狩猎是一个创造性的过程,对那些抓住机会的人给予回报。完成一些事情,任何可操作的事情 —— 只要它提供价值。

二、指南和参考



2.1 使用 MITRE ATTACK 进行狩猎



2.2 DNS 捕获



三、工具


  • OS/VM
    • RedHunt-OS - RedHunt Labs 用于攻击仿真和威胁搜寻的虚拟机
    • ThreatPursuit-VM - 一个完全可定制、开源的基于 Windows 的发行版,专注于威胁情报分析和搜寻,专为英特尔和恶意软件分析师以及威胁搜寻者设计,以快速启动和运行
  • 平台
    • HELK: The Hunting ELK -  Hunting ELK (简称 HELK) 是首批具有高级分析功能的开源狩猎平台之一,例如 SQL 声明性语言、图形、结构化流,甚至通过 Jupyter notebooks 和 ELK stack 上的 Apache Spark 进行机器学习
    • ACM's AI-Hunter - 用于在网络上搜索和检测恶意软件的平台
  • ThreatHunter's Toolkit - Threat Hunting Toolkit 是一把瑞士军刀,用于威胁追踪、日志处理和以安全为中心的数据科学
  • DNS
    • freq.py - Mark Baggett 使用 NLP 技术而不是纯粹的熵计算来检测随机性的工具,使用字符对频率分析来确定测试字符串出现的可能性;
    • domain_stats - Domain Status 是一个日志增强实用程序,旨在帮助你发现环境中的威胁;
    • dnstwist -  用于检测同形异义词网络钓鱼攻击、拼写错误和品牌冒充的域名排列引擎;
  • 其它
    • Awesome Lists Collection: Cobalt Strike Defense
    • DeepBlueCLI  - 通过 Windows 事件日志进行威胁搜寻的 PowerShell 模块;
    • LogonTracer - LogonTracer 是一种通过可视化和分析 Windows Active Directory 事件日志来调查恶意登录的工具;
    • APT-Hunter - 由紫队制作的 Windows 事件日志威胁搜寻工具,可检测隐藏在 Windows 事件日志海洋中的 APT 移动,以减少发现可疑活动的时间;
    • PSHunt - Powershell 威胁狩猎模块;
    • PSRecon -  使用 PowerShell (v2 或更高版本) 从远程 Windows 主机收集数据,将数据组织到文件夹中,对所有提取的数据进行哈希处理,对 PowerShell 和各种系统属性进行哈希处理,并将数据发送给安全团队。数据可以共享、通过电子邮件发送或在本地保留;
    • Mihari -  基于 OSINT 的持续威胁追踪框架;
    • Oriana - 一种威胁搜寻工具,它利用 Windows 事件的子集来建立关系、计算总数和运行分析,结果显示在 Web 层中,以帮助防御者识别企业环境中的异常值和可疑行为;
    • rastrea2r - 一种多平台开源工具,允许事件响应者和 SOC 分析师在几分钟内对可疑系统进行分类并在数千个端点上寻找危害指标 (IOC)
    • Zircolite - 用于 EVTX 的基于 SIGMA 的独立检测工具;
    • chainsaw - 通过 Windows 事件日志快速搜索和搜寻;
    • https://www.nextron-systems.com/thor-lite/ - 快速灵活的多平台 IOC 和 YARA 扫描器;

3.1 Splunkhunting



视频演示:https://www.youtube.com/watch?v=ST0cuppJ2nc

四、狩猎理论


  • 狩猎类型 - 这会在威胁狩猎理论家之间引起一些分歧,但这是常见的思维过程,有 3 种类型的狩猎:
  • 亨特假设的 3 种类型
    • 威胁情报 - 这些是针对特定指标的搜索,这些都是容易实现的目标,随后应将指标添加到存在的任何警报机制中。
      • 自动化 - IoC 摄取,应由 SIEM 和 SOAR 执行
      • 持续 - 态势感知和行为分析,如果这些可以变成警报搜索,那就更好了,否则,应该以合理的时间间隔安排。
      • 按需 - 寻找特定活动,这通常具有时间元素,例如对给定智能的响应。
    • 态势感知 - 这些搜寻用于查看正常的系统和网络操作并识别正常操作之外的活动,这可能包括事件的数量/频率、某些活动的方法或与某些事件相关的特定数据点的变化。
      • 最大的威胁搜寻技能之一不仅是查看哪些数据不属于,还要查看哪些数据丢失。
    • 领域专业知识 - 这是一项需要对本地环境有特定了解的专业知识,这些搜寻寻找与情境意识类似的项目,并增加了在特定组织运营中寻找怪异的背景,其中许多将违反公司政策或当地惯例和标准。
  • 狩猎决定
    • 这种狩猎可以自动化吗?
    • 这种狩猎可以重复吗?
    • 此搜寻中的指标是否由其他服务监控?
    • 我们是否已经对这些指标进行了强化?
  • 狩猎策略问题:
    • 你准备狩猎什么?
    • 你会在哪里找到它?
    • 你将如何找到它?
    • 你什么时候能找到它?
    • 从钻石模型中的每一点提出这些问题
  • a-simple-hunting-maturity-model
  • the-pyramid-of-pain
    • Threat Hunting with Elastic Stack - pg. 29

五、技术


5.1 可重复的狩猎


这些是可以而且应该定期执行的狩猎理论和搜索。


5.2 Long Tail 分析


https://www.ericconrad.com/2015/ ... th-eric-conrad.html

5.3 Crown Jewel 分析


准备 CJA 要求组织执行以下操作:

  • 确定组织的核心使命
  • 将任务映射到它所依赖的资产和信息
  • 发现并记录网络上的资源
  • 构建攻击图 → 确定对其他系统或信息的依赖关系 → 分析资产及其互连的潜在攻击路径 → 根据严重程度对任何潜在漏洞进行评级
  • 这种类型的分析允许猎手通过生成关于可能对组织影响最大的威胁的假设来优先考虑保护他们的目标
  • Crown Jewel Analysis - Crafting the Infosec Playbook: pg. 21

5.4 其它





本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?立即注册

x
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver|小黑屋|DecoyMini 技术交流社区 (吉沃科技) ( 京ICP备2021005070号 )

GMT+8, 2024-12-22 16:10 , Processed in 0.064444 second(s), 28 queries .

Powered by Discuz! X3.4

Copyright © 2001-2023, Tencent Cloud.

快速回复 返回顶部 返回列表