威胁狩猎初学者常见问题

由Active Countermeasures的Chris Brenton解答 | 问题由Shelby Perry从信息安全社区收集整理

本文最初发表于我们的信息安全杂志PROMPT#的"威胁狩猎"特辑，可在此免费在线阅读。

Q: 威胁狩猎和威胁检测的主要区别是什么？

A: 威胁检测是指在网络上检测恶意活动的行为。这可能通过多种不同方式实现，比如触发警报或在进行取证分析时。威胁检测是一个通用术语，该过程可以是被动或主动的。

威胁狩猎特指主动搜索网络和主机数据，寻找入侵指标。无论是否触发了任何警报，都会执行此活动。

Q: 开始威胁狩猎需要什么？

A: 流程方面：第一步是确定要执行哪些检查以及执行这些检查所需的数据。例如，如果要狩猎C2通信，需要一种方法来分析内部网络和互联网之间传递的所有流量。这通常通过在防火墙内部接口捕获流量来实现，可以使用网络分路器或利用交换机SPAN端口。收集数据后，需要工具和流程来区分C2通信和正常流量模式。C2可能非常隐蔽，因此可能需要能够以12小时（或更长时间）为"块"分析流量，以便将其与正常模式区分开。

知识方面：对于网络威胁狩猎，深入了解网络和协议通信非常有帮助。例如，HTTPS通信通常通过TCP端口443使用SSL/TLS协议。许多C2工具通过TCP/443传递流量，但只是进行混淆（它们不使用SSL/TLS）。因此，如果你精通网络并看到使用TCP/443但不包含SSL/TLS握手的流量，就知道需要进一步调查。

如果计划在终端上进行狩猎，需要深入了解每个操作系统及其使用的应用程序。例如，PowerShell是Windows操作系统中内置的强大脚本语言。除了IT或安全团队之外，很少有人有合法理由使用它。因此，作为威胁猎人，你需要知道会计部门的Nancy运行PowerShell是极其可疑的行为。

Q: DNS上的C2是什么意思？

A: DNS上的C2是攻击者将C2流量嵌入合法DNS查询的做法。这会导致你的DNS转发器愉快地将C2流量发送到互联网。攻击者随后将注册一个远程域，并将其C2服务器设置为该域的权威DNS服务器。这意味着你的DNS服务器将把C2流量发送到远程C2服务器。这种C2活动如此隐蔽的原因是受感染系统不会生成任何新的发往互联网的流量。相反，你只会看到DNS查询数量的增加。

Q: 有这么多工具…我怎么知道该用哪个？

A: 试试看！看看哪个在你的环境中效果最好，与你的工作流程匹配。另外，不要期望一个工具总能完美满足所有需求。例如，如果我分析整体流量，会使用Zeek等工具。如果我寻找特定模式，会使用Suricata。对于特定流量流，我会使用Tshark。对于单个会话的深度分析，我会转向Wireshark。我的最佳建议：选择一个工具并坚持使用。当它无法解决特定挑战时，再查看其他工具。

Q: 一旦怀疑系统被入侵，检测横向移动的最佳/最简单方法是什么？

A: 识别正在使用的命令和控制（C2）服务器，查看是否有其他内部系统与该服务器通信。要有耐心，因为辅助系统每4-8小时才回连一次的情况并不少见。运行24小时的数据包捕获在大多数情况下应该足够。

Q: 需要记住的缩写词？

C2 – 命令和控制
DNS – 域名系统
FQDN – 完全限定域名
SIEM – 安全信息和事件管理

更多初学者博客推荐：

构建家庭实验室：设备、工具和技巧
渗透测试、威胁狩猎和SOC：概述
蓝队、红队和紫队：概述
如何在社交媒体上进行网络推广
如何获得网络安全工作
如何执行和防范社会工程学
心理健康——信息安全的挑战

想要了解更多？ 查看Chris Brenton的Antisyphon课程：

高级网络威胁狩猎 支持点播观看！