青藤云安全：猎鹰札记之威胁猎人的“千人千面”及场景实践

（原标题：青藤云安全：猎鹰札记之威胁猎人的“千人千面”及场景实践）

目前，已经有不少敢为人先的组织都将威胁狩猎作为安全运营工作的一部分，并且收获了不小的效果。威胁狩猎强调通过“人”主动去寻找入侵痕迹，而不是被动等待技术告警。

威胁猎人长什么样？

威胁猎人必须具有深入的网络知识和安全知识，并能够在他们的脑海中绘制出网络图。他们对应用程序和系统的专业理解使他们能够识别表明攻击者存在的明显迹象。他们应该是什么样呢？也许是美女与野兽组合。

威胁狩猎团队的人员组织，需要7种角色，有些角色可以合并为一个人，不一定是7个角色7个人。

系统管理员：主要针对SIEM系统的维护以及威胁狩猎平台的管理。

狩猎初级分析师：使用SIEM系统和威胁狩猎平台，处理报警和一些基本平台使用。

狩猎中级分析师：具有威胁情报、日志分析能力，具有渗透测试和网络协议知识。

狩猎高级分析师：具有风险等级评估、漏洞管理、网络包和日志深度分析能力、以及恶意软件分析能力。

取证专家：对于内存、硬盘要有专业的取证知识，可以做时间链分析。

狩猎工具开发人员：要具备开发经验，可以自动化一些狩猎场景。

恶意软件分析工程师：主要负责恶意软件的逆向，熟悉汇编语言等内容。

安全情报人员：具有情报资深经验，能够筛选、使用、开发威胁情报。

威胁狩猎金字塔模型

拥有一个相对完整的狩猎团队之后，还需要一个相对清晰的理论模型来指导大家完成狩猎行动。某种意义上来说，威胁狩猎功能是从顶部1级开始，然后逐渐下沉5级，如下图所示。在顶部是采用高置信度的警报，例如防病毒，IDS等被动方法，主要是针对确定异常情况自动告警。当然底部才是威胁狩猎所需的核心功能，更加关注人的作用。在模型底部，针对不同置信度的各种指标，需要进一步调查才能确定。例如，可以执行一组预定义的场景用例，当然也可以将这些用例内置到威胁狩猎工具中。最后，从包括SOC等平台中，生产出新的用例并执行它们。

威胁狩猎金字塔模型

当然，所有狩猎场景实例，都建立在广泛的安全专业知识基础上，这些专业知识可以不断驱动生成新的用例，包括诸如来自红队的攻击成功案例的反馈，相关攻击技术公开资料（例ATT&CK），事件响应团队反馈等。

因此，通过模型将广泛的安全经验带入用例生成，执行，分析，适当的自动化以及在可能的情况下进行自动警报。如上图的顶部黑色部分主要集中在技术上，它使用自动化和分析功能使工作效率更高。但是并没有完全自动化的工具，因此极大部分狩猎是需要人工介入。

需要特别注意的是，威胁狩猎者不能简单地执行有限的不变狩猎场景实例。否则，攻击者只需要切换技术就可以逃过雷达监控。相反，猎人需要持续更新生成用例，才能真正体现“人”价值。当然，威胁狩猎工具可以简化该过程。如果某些用例产生特别明显的结果，则可以将其反馈到自动化中，在将来以更高的优先级向威胁狩猎者突出此类情况，或者只是在将来加快执行速度。

威胁狩猎实例

威胁狩猎的核心是执行一系列狩猎场景（或假设）继而寻找存在攻击的证据。通过分析大量不同维度的数据和指标来判断是否存在异常和攻击行为。

Credential Dumping用例

凭证转储是攻击指标（IOA）的一个示例。已知的APT组（例如APT1、28和Axiom）已使用此技术。转储的凭证可用于执行横向移动并访问受限制的数据集。出于此用例的目的，通过使用MimiKatz实现了凭证转储。例如，在Windows中，安全帐户管理器（SAM）数据库存储本地主机的本地帐户，并且可以使用多种工具通过使用内存技术来访问SAM文件中的信息。其他工具包括Pwdumpx，Gsecdump和WCE-但是，寻找这些工具并不一定会产生任何结果。

（1）Credential Dumping攻击过程复现实例

如下实例所示，通过任务管理器选择lsass.exe，然后再转储内存，创建一个转储的文件，之后可以选择procdump或者说mimikatz这类工具把实际内存中凭证dump出来，获得认证信息。

（2）Credential Dumping攻击的检测分析

然后这个检测起来相对来说会复杂一些。例如，攻击者⼀般都会通过powershell执⾏恶意命令，⽽且在执⾏powershell时，必然需要使⽤参数 –exec bypass来绕过执⾏安全策略，这是⼀个很强的检测点。然后再用mimikatz等工具将凭证dump出来。

如下所示检测分析实例，是指进程访问了lsass.exe，访问的行为包含了GrantedAccess（Windows系统自带的进程访问编码）这几个字段。此外该进程还调用了一些DLL。在这个基础上，再查看父进程一些相关信息，就能判断肯定存在威胁。按照正常来说的一些程序，他不会去通过这些的访问方式来去访问lsass.exe的。

综上所述，检测这类技术需要对进程、进程命令行参数、powershell日志、API等进行监控，获得一个综合数据。

Powershell用例

以下面场景为例，攻击者通过外部鱼叉式网络钓鱼活动个，实现三个战术“发现、凭据访问和命令控制（CC）”。攻击者实现这些战术的痕迹都被记录下来，通过青藤猎鹰·威胁狩猎平台将这些攻击动作映射到ATT&CK框架中，并且可以知道攻击者是如何利用Powershell实现攻击战术。

这样，针对powershell狩猎就拥有了一个假设触发点，并且可以基于这种可靠的、拥有上下文场景的威胁情报来提高SOC针对Powershell的敏感性。这个场景也能够说明威胁狩猎平台产生的威胁模型可以传递给SOC。例如，SOC可以进行关联并检查是否存在异常地理位置IP与靶机建立通信。

写在最后

当然想要实现威胁狩猎，需要利用一些平台工具方可实现。首先，需要能够收集到高质量的数据；其次，还需要能够解决异构数据源头的连接问题。最后，还需要一个强大分析引擎，能够支持复杂的分析算法，此外还需要一个灵活的分析员。

在这样背景下，青藤正式推出了猎鹰·威胁狩猎平台。该平台集成了大约50余类原始数据，并且内置了超过100余类ATT&CK检测模型，能够更简单、有效帮助解决安全数据汇集，数据挖掘，事件回溯，安全能力整合等各类问题。

通过青藤猎鹰威胁狩猎平台，也可以将攻击者的行为实时映射到MITER框架，帮助安全人员加强他们入侵行为的理解，尽快输出对威胁狩猎假设。它还使我们能够识别威胁参与者在欺骗环境中移动时正在使用的不同技术，这些技术可能会并行触发单独的搜寻。没有这些数据，该假设的制定将耗费大量时间和资源。