说到威胁猎取(除了听起来很酷之外),您是否会想到侦探为找到特定的威胁行为者或网络罪犯而进行的调查,甚至想到在防御前线工作的网络安全专业人员如何使用调查技术和潜在恶意事件的特征来确定该活动是真阳性还是假阳性,那么您就对威胁猎取有了一个大致的了解,下面我将详细介绍。例如,根据不同的情况(不同类型的流量,如网络等),威胁猎*可以有大量不同的实施方式,正因为如此,在从根本上弄清楚什么是威胁猎*时,这个术语可能会让人感到困惑,因为它可以有很多解释。不过,威胁猎取的核心或威胁猎取者的工作是,他们假定系统中已经存在对手,并开始调查,以发现可能表明存在恶意活动的异常行为,因此,您可以将其视为一名到达犯罪现场的侦探,并希望进行更多调查,以真正弄清发生了什么。最后但并非最不重要的一点是,这里介绍了威胁猎手成功的一些特征,因为尽管了解理论和实践方面的知识,以便成功实施正确的调查工具,或者了解与威胁猎手相关的术语,都是非常重要的。
此外,有两个术语对于真正理解和全面掌握非常重要,那就是 "妥协指标"(IOC)和 "攻击指标"(IOA),我接下来会逐一解释。此外,需要指出的重要一点是,尽管每个指标都有某些不同的特点,但总体而言,这些特点决定了每个指标的不同。妥协指标/妥协指标与攻击指标/攻击指标的主要区别在于它们发生的时间,以及它们与什么有关,我将在下文中逐一说明。例如,"破坏指标 "是指发生了恶意活动,并且有证据表明发生了恶意活动,如硬盘或文件被加密,屏幕显示与勒索软件相关的信息等;而 "攻击指标 "则是指威胁行为者、网络罪犯或对手实时执行恶意活动或操作,以成功完成其邪恶计划。此外,需要了解的最重要的主题之一就是网络*伤链,因为它描述了攻击者如何开展行动以成功完成其行动任务的主要目标的方法。
需要指出的是,对威胁猎取非常有利的一点是,要真正掌握威胁猎取的步骤,因为了解成功进行威胁猎取的过程至关重要,这样才能更快地发现威胁、分析 IOC 或 IOA,并以最大的确定性(希望如此)得出结论,即该活动是否是恶意的。从威胁猎取调查的第一步开始,尽管有关威胁猎取的流程有多个版本,就像渗透测试方法有多个不同版本一样,但这些步骤是威胁猎取流程的核心基本方面,即触发、调查和最后但并非最不重要的解决。
首先是触发阶段,这对于威胁猎手来说至关重要,因为如果他们需要了解潜在或非恶意活动创建警报的源头,这样他们就能找出警报的根本原因,并在知道这是网络中的正确区域后开始整体调查,而不会有第二种想法或困惑。此外,拥有 XDR 等工具或平台确实有助于这一阶段的工作,因为它可以帮助找出可能表明存在恶意活动的任何异常行为,因为威胁行为者或网络犯罪分子喜欢混淆视听,以躲避端点检测和响应(EDR)代理等检测工具,所以拥有这些能够找出更复杂的恶意软件活动的平台也至关重要。
Wazuh 是一款功能非常强大的工具,它拥有非常漂亮且全面的 Web UI,具备大量非常出色的功能,最重要的是它是免费/开源的。此外,关于这款出色的 EDR 工具的更多信息,请访问:hTTPs://wazuh.com/。在这一阶段,威胁猎手将深入开展调查,使用我之前提到的工具,毫无疑问地找出导致警报的活动是否是恶意的,直到收集到所有线索并做出明确结论。此外,对于威胁猎手来说,拥有一系列可以使用或了解的威胁猎取/情报工具也是非常重要的,因为每种工具都有其优缺点,所以使用多种工具而不是一种工具可能会更好地澄清恶意活动,获得更多线索以找到根本原因,并从整体上更好地了解谁是触发警报的攻击者/威胁行为者/网络罪犯。此外,这里还从顶层角度介绍了什么是 Wazuh,总体而言,它是最值得推荐给蓝队安全专业人员使用的工具之一,因为它有一系列功能,包括
最后但并非最不重要的是 "解决 "阶段,在这一阶段,上一步的调查已经结束,但调查方面的文档也被用于与其他安全团队和运营部门沟通,以便他们为类似的警报做好准备,包括如何开始、使用什么工具、实施和遵循的正确流程,以及从整体上找出潜在或非恶意活动的根源,而不会出现任何混乱。总之,这一阶段至关重要,因为尽管拥有强大的软/技术技能组合对于在网络安全领域取得成功非常重要,但如果您能够与其他或其他安全团队进行交流,让他们能够提高处理任何类型的威胁或警报的知识和整体技能组合,同时采取正确/适当的应对措施,也是非常有益的。
继续往下看,这张图片描述了威胁狩猎中需要理解和真正掌握的最重要的方面之一,即战术/工具、技术和程序,因为在进行威胁狩猎调查时,了解对手使用/实施这三种战术/工具、技术和程序的整体含义至关重要。例如,我之前在本博客中介绍了什么是网络*戮链以及如何在威胁猎*调查中实施网络*戮链,同时,如果您了解了 TTP 及其示例,就能更好地理解网络*戮链中的各个阶段,因为每个 TTP 都与网络*戮链中的特定阶段相一致,因此,至关重要的是,您不仅要了解 TTP,还要了解网络*戮链和 TTP 之间的关系,并能将两者结合起来使用。说到这里,我们将开始讨论 TTP 首字母缩写词中的 "战术/工具"(Tactics/Tools)部分,在这方面,你可以把它理解为攻击者/威胁行动者/网络犯罪分子收集或计划攻击所需的工具,即邪恶任务的目标是什么,以及如何成功实施这些工具。其次是技术,即攻击者/威胁行动者/网络罪犯集思广益或开始构思哪种技术或攻击方式更有利于使用,例如使用社会工程学攻击来利用目标用户。
现在,我们已经讨论了威胁猎取简介、成功猎取威胁所需的特征、威胁猎取流程的步骤,以及与威胁猎取相关的重要术语(如 IOC、IOA 和 TTP),接下来我将详细讨论与威胁猎取相关的两个最常见框架。此外,制定框架不仅对威胁猎取至关重要,因为该框架的主要目的是教育用户了解与之相关的主题、如何有条不紊地执行特定流程,以及最重要的是如何成功实施。例如,上图描绘的是 "目标狩猎整合威胁情报"(TaHiTI),这是与威胁狩猎相关的两个最常用、最广为人知的框架之一,因为它的主要目的是什么,我将在下文中解释,而且该出版物的来源是金融服务信息共享和分析中心(FI-ISAC)组织,该组织是全球唯一的网络情报共享社区,仅专注于金融服务,可信度高,有关该组织的更多信息,请访问:https://www.fsisac.com/。尽管如此,创建 TaHiTI 框架的初衷是为了让人们对威胁猎*有一个共同的理解,并创建一种方法,将威胁情报的主题与威胁猎*结合起来。
MITRE ATT&CK(对抗性战术、技术和常识)框架是最著名、使用最广泛、也是最重要的框架之一,它不仅适用于了解威胁,而且在网络安全领域也非常重要,因为它的目的我将在下文中解释。例如,创建 MITRE ATT&CK 框架的目的是为安全专业人员提供指南,帮助他们了解攻击者使用了哪些攻击技术,同时还列出了示例,这样,当这些攻击发生或正在发生时,安全专业人员就能够使用该框架,准确找出与之相关的攻击技术,从而制定出最佳的应对措施。在威胁猎取方面,MITRE ATT&CK 框架可以帮助安全团队创建对手模拟,根据框架中的攻击技术模拟不同类型的攻击,这将使威胁猎取者或威胁猎取团队对不同的攻击场景有一个真正清晰和简明的概念,以便能够进行调查,同时也非常有利于与其他安全运营团队讨论如何实施这些场景,以创建总体上更好的安全对策。与 MITRE ATT&CK 框架相关的另一个重要方面是,您还可以查找与不同攻击技术相关的特定群组,因为脚本基德与脚本基德之间存在很大差异。
接下来,我将讨论有助于学习威胁猎*理论方面的资源,但也会讨论实践方面的资源,因为不仅要从知识角度理解什么是威胁猎*,而且如何使用工具进行威胁猎*并取得全面成功也非常重要。因此,我将从RangeForce的 "威胁猎*者作战路径 "开始,该课程包含10个模块,将向您传授YARA等工具,YARA是一款非常出色的免费恶意软件分析工具,可让您分析PDF、压缩文件等各种不同的文件类型,还将向您传授最常用的攻击技术,如权限升级等。此外,您还将获得理论实践经验,了解不同的工具,以帮助查找常用的恶意活动,如Splunk、Suricata、YARA、Netcat,还将接触到攻击者使用的一些工具,当然是在虚拟化浏览器环境中以合法的方式使用,因此,如果您想学习对威胁猎*非常有帮助的检测和识别工具,还想了解攻击者合法使用的工具,那么我强烈推荐RangeForce的《威胁猎*者作战路径》。
其次,我还想推荐 TryHack 的网络防御之路,但更具体地说是他们的威胁与漏洞管理模块,因为它与 RangeForce 的战斗之路一样,都是教授与威胁猎取相关的工具和概念背后的理论知识,而且您还将获得非常棒的工具实践经验,这些工具不仅对威胁猎取有益,而且也是必不可少的。此外,如果你参加了网络防御之路,你还将学习到一些工具,如 Nessus(漏洞扫描仪)、YARA、OpenVAS(开放式漏洞评估扫描)、MISP(帮助威胁情报信息共享的免费开源软件,包括网络安全指标,更多相关信息请访问:https://www.misp-project.org/),而且你还将学习到一个非常重要的漏洞,即众所周知的 ZeroLogon,你还将能够使用 MITRE 提供的工具和资源。此外,我还会推荐 TryHackMe 的安全操作与监控模块,该模块涵盖了非常有用的检测和日志工具,如 SysInternals、Windows Event Logs、Sysmon、Suricata、Osquery、Splunk,以及最后但同样重要的 Graylog,因为如果你没有可以帮助你检测恶意活动的工具,那就需要解决这个问题,而且总体上会让你处于非常不利的地位。
第三,我推荐 Black Hills Information Security 的姊妹公司 Active Countermeasures 的威胁猎取培训,因为他们拥有各种威胁猎取资源、质量和讲授内容的讲师。例如,Active Countermeasures 创建了一个免费培训课程,其中包括幻灯片、视频录像、动手实验室信息、实验室下载、常见问题(FAQ),最后但并非最不重要的是,实验室下载说明将指导您如何设置环境。此外,Active Countermeasures 还提供了一个非常棒的视频,详细介绍了课程内容,因此您可以按照自己的节奏学习,并在整体上熟悉威胁猎*的入门知识。此外,Active Countermeasures 还提供了一个名为 "威胁猎人社区 "的 discord,您可以加入这个社区,总的来说,它真的很有帮助,因为这个社区真的很友好,知识渊博,最重要的是,他们愿意帮助您,所以如果您在他们提供的免费课程中遇到困难,可以在 discord 提供的频道中提问,我强烈建议您加入。此外,Active Countermeasures 还提供自己的 Linux 发行版,就像 Offensive security 提供的 Kali Linux 一样,其中包含所有最好的主动防御工具,如 RITA(真实智能威胁分析)、espy、passer 和 BeaKER。此外,还有
最后,我将讨论沉浸式实验室提供的威胁猎*模块,需要指出的重要一点是,如果你有一个有效且未过期的学生电子邮箱,那么你就可以免费访问该平台提供的大部分内容,而且你会对可供选择的各种学习主题印象深刻。现在,我们已经讨论了该平台,威胁猎取模块是理论和实践实验室的混合体,尽管在免费版本中,你只能获得该模块总共 14 个实验室中的 5 个,但你可以点击 "显示兴趣 "框,Immersive Labs 会为你添加其余的实验室。除了 Immersive Labs 提供的威胁猎*模块,他们还有与威胁猎*相关的其他内容,这些内容被称为 "角色",在这些内容中,你可以看到从初级角度为威胁猎*打下坚实基础的模块,但他们还包括一个中级模块,让你对威胁猎*有更深入的了解,这两个模块都有理论和实际实验室可供使用。总之,我一定会推荐 Immersive Labs 的威胁猎*材料,如果你是学生,那么你将从 Immersive Labs 提供的材料中获益匪浅,无论是从金钱角度,还是从内容角度。
