青藤雲安全:獵鷹札記之威脅獵人的「千人千面」及場景實踐

（原標題：青藤雲安全：獵鷹札記之威脅獵人的「千人千面」及場景實踐）

目前，已經有不少敢為人先的組織都將威脅狩獵作為安全運營工作的一部分，並且收穫了不小的效果。威脅狩獵強調通過「人」主動去尋找入侵痕跡，而不是被動等待技術告警。

威脅獵人長什麼樣？

威脅獵人必須具有深入的網絡知識和安全知識，並能夠在他們的腦海中繪製出網絡圖。他們對應用程式和系統的專業理解使他們能夠識別表明攻擊者存在的明顯跡象。他們應該是什麼樣呢？也許是美女與野獸組合。

威脅狩獵團隊的人員組織，需要7種角色，有些角色可以合併為一個人，不一定是7個角色7個人。

系統管理員：主要針對SIEM系統的維護以及威脅狩獵平臺的管理。

狩獵初級分析師：使用SIEM系統和威脅狩獵平臺，處理報警和一些基本平臺使用。

狩獵中級分析師：具有威脅情報、日誌分析能力，具有滲透測試和網絡協議知識。

狩獵高級分析師：具有風險等級評估、漏洞管理、網絡包和日誌深度分析能力、以及惡意軟體分析能力。

取證專家：對於內存、硬碟要有專業的取證知識，可以做時間鏈分析。

狩獵工具開發人員：要具備開發經驗，可以自動化一些狩獵場景。

惡意軟體分析工程師：主要負責惡意軟體的逆向，熟悉彙編語言等內容。

安全情報人員：具有情報資深經驗，能夠篩選、使用、開發威脅情報。

威脅狩獵金字塔模型

擁有一個相對完整的狩獵團隊之後，還需要一個相對清晰的理論模型來指導大家完成狩獵行動。某種意義上來說，威脅狩獵功能是從頂部1級開始，然後逐漸下沉5級，如下圖所示。在頂部是採用高置信度的警報，例如防病毒，IDS等被動方法，主要是針對確定異常情況自動告警。當然底部才是威脅狩獵所需的核心功能，更加關注人的作用。在模型底部，針對不同置信度的各種指標，需要進一步調查才能確定。例如，可以執行一組預定義的場景用例，當然也可以將這些用例內置到威脅狩獵工具中。最後，從包括SOC等平臺中，生產出新的用例並執行它們。

威脅狩獵金字塔模型

當然，所有狩獵場景實例，都建立在廣泛的安全專業知識基礎上，這些專業知識可以不斷驅動生成新的用例，包括諸如來自紅隊的攻擊成功案例的反饋，相關攻擊技術公開資料（例ATT&CK），事件響應團隊反饋等。

因此，通過模型將廣泛的安全經驗帶入用例生成，執行，分析，適當的自動化以及在可能的情況下進行自動警報。如上圖的頂部黑色部分主要集中在技術上，它使用自動化和分析功能使工作效率更高。但是並沒有完全自動化的工具，因此極大部分狩獵是需要人工介入。

需要特別注意的是，威脅狩獵者不能簡單地執行有限的不變狩獵場景實例。否則，攻擊者只需要切換技術就可以逃過雷達監控。相反，獵人需要持續更新生成用例，才能真正體現「人」價值。當然，威脅狩獵工具可以簡化該過程。如果某些用例產生特別明顯的結果，則可以將其反饋到自動化中，在將來以更高的優先級向威脅狩獵者突出此類情況，或者只是在將來加快執行速度。

威脅狩獵實例

威脅狩獵的核心是執行一系列狩獵場景（或假設）繼而尋找存在攻擊的證據。通過分析大量不同維度的數據和指標來判斷是否存在異常和攻擊行為。

Credential Dumping用例

憑證轉儲是攻擊指標（IOA）的一個示例。已知的APT組（例如APT1、28和Axiom）已使用此技術。轉儲的憑證可用於執行橫向移動並訪問受限制的數據集。出於此用例的目的，通過使用MimiKatz實現了憑證轉儲。例如，在Windows中，安全帳戶管理器（SAM）資料庫存儲本地主機的本地帳戶，並且可以使用多種工具通過使用內存技術來訪問SAM文件中的信息。其他工具包括Pwdumpx，Gsecdump和WCE-但是，尋找這些工具並不一定會產生任何結果。

（1）Credential Dumping攻擊過程復現實例

如下實例所示，通過任務管理器選擇lsass.exe，然後再轉儲內存，創建一個轉儲的文件，之後可以選擇procdump或者說mimikatz這類工具把實際內存中憑證dump出來，獲得認證信息。

（2）Credential Dumping攻擊的檢測分析

然後這個檢測起來相對來說會複雜一些。例如，攻擊者⼀般都會通過powershell執⾏惡意命令，⽽且在執⾏powershell時，必然需要使⽤參數 –exec bypass來繞過執⾏安全策略，這是⼀個很強的檢測點。然後再用mimikatz等工具將憑證dump出來。

如下所示檢測分析實例，是指進程訪問了lsass.exe，訪問的行為包含了GrantedAccess（Windows系統自帶的進程訪問編碼）這幾個欄位。此外該進程還調用了一些DLL。在這個基礎上，再查看父進程一些相關信息，就能判斷肯定存在威脅。按照正常來說的一些程序，他不會去通過這些的訪問方式來去訪問lsass.exe的。

綜上所述，檢測這類技術需要對進程、進程命令行參數、powershell日誌、API等進行監控，獲得一個綜合數據。

Powershell用例

以下面場景為例，攻擊者通過外部魚叉式網絡釣魚活動個，實現三個戰術「發現、憑據訪問和命令控制（CC）」。攻擊者實現這些戰術的痕跡都被記錄下來，通過青藤獵鷹·威脅狩獵平臺將這些攻擊動作映射到ATT&CK框架中，並且可以知道攻擊者是如何利用Powershell實現攻擊戰術。

這樣，針對powershell狩獵就擁有了一個假設觸發點，並且可以基於這種可靠的、擁有上下文場景的威脅情報來提高SOC針對Powershell的敏感性。這個場景也能夠說明威脅狩獵平臺產生的威脅模型可以傳遞給SOC。例如，SOC可以進行關聯並檢查是否存在異常地理位置IP與靶機建立通信。

寫在最後

當然想要實現威脅狩獵，需要利用一些平臺工具方可實現。首先，需要能夠收集到高質量的數據；其次，還需要能夠解決異構數據源頭的連接問題。最後，還需要一個強大分析引擎，能夠支持複雜的分析算法，此外還需要一個靈活的分析員。

在這樣背景下，青藤正式推出了獵鷹·威脅狩獵平臺。該平臺集成了大約50餘類原始數據，並且內置了超過100餘類ATT&CK檢測模型，能夠更簡單、有效幫助解決安全數據匯集，數據挖掘，事件回溯，安全能力整合等各類問題。

通過青藤獵鷹威脅狩獵平臺，也可以將攻擊者的行為實時映射到MITER框架，幫助安全人員加強他們入侵行為的理解，儘快輸出對威脅狩獵假設。它還使我們能夠識別威脅參與者在欺騙環境中移動時正在使用的不同技術，這些技術可能會並行觸發單獨的搜尋。沒有這些數據，該假設的制定將耗費大量時間和資源。

本文來源：大眾新聞 責任編輯：陳體強_NB6485