威胁狩猎与威胁检测的核心区别
威胁检测指通过网络中的恶意活动检测,可能通过警报触发或取证分析实现,属于通用术语,过程可被动或主动。
威胁狩猎特指主动搜索网络与主机数据以寻找入侵指标,该活动不依赖警报触发。
威胁狩猎入门要求
流程层面
- 确定检查内容及所需数据(例如狩猎C2通信需分析内网与互联网间全流量)
- 通过防火墙内接口捕获流量(网络分路器或交换机SPAN端口)
- 使用工具区分C2通信与正常流量(需具备12小时以上流量分析能力)
知识层面
- 网络威胁狩猎:需精通网络协议(例如识别TCP/443端口非SSL/TLS握手流量)
- 终端狩猎:需熟悉操作系统与应用行为(例如会计人员运行PowerShell属异常行为)
C2 over DNS技术解析
攻击者将C2流量嵌入合法DNS查询,利用DNS转发器将流量发送至互联网。攻击者注册远程域名并将C2服务器设为权威DNS服务器,使受害系统仅增加DNS查询量而不产生新外联流量,实现高度隐蔽。
工具选择策略
- 流量整体分析:Zeek
- 特定模式检测:Suricata
- 流量流分析:Tshark
- 单会话深度分析:Wireshark
核心建议:优先掌握单一工具,遇局限时再扩展其他工具。
横向移动检测方法
识别C2服务器后,监控其他内网系统与该服务器的通信(需持续24小时抓包,因次级系统可能每4-8小时回连一次)。
关键缩写表
- C2:命令与控制
- DNS:域名系统
- FQDN:完全限定域名
- SIEM:安全信息与事件管理