李广林 - 威胁狩猎架构探索

农林牧渔 2022-06-28 EISS 娱乐而已

（无具体内容）

外部威胁：
- 业余爱好者：公开攻击技术、工具，炫耀、漏洞赏金。
- 漏洞研究人员：具备部分专有攻击技术，技术及利益驱动。
- 黑产组织/团伙：完整的攻击平台，部分掌握0day，利益驱动/意识形态驱动。
- 网络恐怖组织：0day挖掘能力、大规模漏洞利用开发能力，少量基础设施，意识形态驱动，较大破坏力。
- 国家行为体：基础设施控制、供应链控制、漏洞制造能力、大量关键0day，意识形态、政治、舆论优势，网络/空间战争。
内部威胁：
- 角色动机行为目标：
  - 工程师：意外泄露用户数据、代码错误、测试低价优惠配置成任意获取、服务不可用、商誉损失、业务无法开展。
  - 营销人员：过失数据访问。
  - 职能人员：妥协删除文档、运营报复、篡改基础设施。
  - 运维：金钱消息外泄。
  - 高管：炫耀注入重要情报。
  - 内部人员：合作伙伴关联人员。

初始访问：凭证访问、环境掌握。
执行持久化：权限提升、防御规避。
横向移动：收集信息、命令与控制协议。
收集信息：扫描、账户入侵、添加硬件、脚本创建系统进程、访问令牌、修改文件目录权限。
中间攻击技术：账号信息、SSH/RDP劫持、音频捕捉、应用层协议控制、代码库渗透、篡改身份信息。
基础设施获取：网络钓鱼、crontab流程劫持、域策略修改、痕迹日志清除、暴力破解、云服务远程服务、电子邮件、数据混淆、云存储渗透、数据销毁。
网络信息收集：基础设施投毒、供应链投毒、共享模块、初始化脚本执行、进程注入、DLL报警阈值修改、密码存储获取、容器和资源内部鱼叉钓鱼、数据缓存、隐写术、C2通道、拒绝服务、社交网络获取账号、进程通信、创建/操纵账户、引导自动执行、信任控制颠覆、输入捕捉、权限组哈希传递、票据传递、配置文件代理、蓝牙渗透、勒索、搜索引擎用户执行（恶意链接）、修改认证流程、滥用root权限、凭证转存/etc/passwd、中间件、物理介质攻击。

基于实体：主机威胁检测、攻击组织技术、数据源、恶意软件、战术、进程启动、DNS请求、日志、网络连接、账户登录、命令审计、脚本执行、账户变更、文件变化、内存变化。
基于事件：威胁狩猎主动狩猎、被动狩猎、基线异常检测、聚类、本地行为偏离、行为检测、越权、CyberKill-Chain、ATT&CK、操作审计、进程启动、连接数量异常告警。
TTI/OC：威胁狩猎模型。

资产分类：人、软件/中间件、业务上下文、其他岗位、工作时间、账号、用户组、权限、系统进程状态、操作系统、容器、数据库/组件、运维监控、中间件框架、语言、URL、资产对应计划任务、内核模块、业务类型、资产用途。

威胁情报：
- 攻击者基础信息：IP、URL、domain、hash、Whois、手机号、邮箱、其他关联信息。
- 攻击过程和结果信息：攻击目标、攻击工具、攻击路径、利用漏洞、返回数据、攻击时间、攻击行为、攻击意图、业务标签、目的、影响。

攻击案例：Log4j漏洞攻击者利用jndirmildap等协议进行RCE。
攻击步骤：
1. 攻击者执行1中有漏洞的类。
2. 记录日志Ladp://attacker.com。
3. http://second-stage.attacker.com/exploit.class向服务器发送请求。
4. 攻击者执行。
攻击技术：流量中包含${，包含响应java类的ladp协议和出站的rmi协议。
攻击行为：建立连接后，使用whomaiid pwdnslookup进程调用id pwdwhoaminslookupls等。
攻击工具：使用ping curl 尝试连接baidu、域控、hids进程调用curl ping cmd带有集权系统执行python操作。
攻击目标：对比时间段内增量的python脚本收集进程信息，查看配置文件。
攻击方法：进程调用more arphistory cat less head history conf等通过配置文件密码尝试横向登录所有进程带该密码的行为。

《Google系统架构解密：构建安全可靠的系统》
《ATT&CK实践指南》
威胁想定分析框架：https://mp.weixin.qq.com/s/s_2GvSNggV7pz0WDDrFvTQThreat Hunting Architecture：https://www.securonix.com/threat-hunting-architecture/