Day26 尋找蟑螂是不是也算是一種威脅狩獵？

17th鐵人賽

17 瀏覽

現在科技持續進步的時代，網路架構與技術越來越複雜，攻擊也越來越精密，如果只是依賴原有的自動化工具去達成防禦效果，常常還是會有漏網之魚，因此今天會分享什麼是 Threat Hunting，以及在 Threat Hunting 中會需要使用到什麼技術或工具。

🔫 Threat Hunting

傳統的資安防禦方式是使用自動化工具（如：防火牆、IDS/IPS）去偵測已知攻擊行為，像是病毒特徵碼、惡意 IP 或異常登入，如果自動化工具偵測到就會發送警報，資安人員接收到後就開始進行處理。

而 Threat Hunting 是一個主動式的防禦，資安人員會主動去看 SIEM（安全資訊與事件管理）或各式數據，分析可疑行為，而不是等警報出現才處理；分析過程會根據自己假設的攻擊情境或威脅情資，檢視日誌（Log）或網路流量（Network Traffic）。

例如：

近期 PowerShell 活動量增加，由於攻擊者常利用 PowerShell 進行偵查、橫向移動或憑證竊取，會不會是遭受到了什麼攻擊？
- 查詢 Event ID 4104（Script Block Logging）的記錄
如果近期某個漏洞被廣泛利用，我們的系統會不會也正遭到相同的攻擊？
- Log4Shell (CVE-2021-44228)
- 檢查是否有連接到可疑的 LDAP 或 RMI 伺服器
- 搜尋包含 ${jndi: 字串的日誌記錄
- 查詢 Event ID 4688（Process Creation）包含 java 且父進程是 Web 應用程式
- 搜尋是否有可疑的 .class 或 .jar 檔案被建立

如果發現蒐集到的證據使假設成立，會需要進一步地解析整個攻擊流程，後續也需要進行相關的處理，包括啟動事件回應程序、通報相關單位、隔離與清除威脅以及事件後檢討，但如果假設沒有成立，也可以當作一次經驗參考。

整體來說可以發現 Threat Hunting 的基本流程是 Trigger/Hypotheses（從異常/已知行為或威脅情資建立假設）→ Investigation（蒐集證據）→ Uncover（進一步分析）→ Inform & Enrich，並且在威脅狩獵中這流程會持續循環。

source : NIST

在威脅狩獵的過程中會需要站在攻擊者的角度思考，MITRE ATT&CK 框架可以很好地幫助我們預測攻擊者的下一步，並建立更精準的獵捕策略。

網站：https://attack.mitre.org/

MITRE ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge) 是一個全球可存取、基於現實世界觀察的網路對手戰術和技術知識庫。它由 MITRE 公司開發，旨在幫助資安專業人員更好地理解、檢測和防禦網路攻擊。

這個框架將攻擊行為分為三個層級：

以下介紹常見的 ATT&CK 戰術範例

這邊舉昨天提到的釣魚攻擊為例，釣魚攻擊屬於 Initial Access 分類中的 Techniques，編號為 T1566。

點進後會進入到關於釣魚攻擊介紹以及它的 Sub-Techniques，像是關於釣魚信件中的惡意附件的子技術就是 T1566.001。

一開始提到 Threat Hunting 的過程中會需要主動去看 SIEM，目前最常見的 SIEM 分別是 ELK 以及 Splunk。

官網：https://www.elastic.co/elastic-stack

Elastic Stack 是一套在業界非常常用的日誌／資料搜尋、分析、可視化平台，Elastic Stack 是由三個開源工具的縮寫：Elasticsearch、Logstash、Kibana，並將這三者整合起來，另外 Elastic Stack是開源軟體。

source: https://www.geeksforgeeks.org/software-engineering/what-is-elastic-stack-and-elasticsearch/

元件	功能 / 角色	特點補充
Elasticsearch	搜索與分析引擎：負責儲存、索引與查詢資料	基於 Lucene，支援分散式架構、橫向擴展、近即時查詢。
Logstash	資料收集與轉換管道	從多個來源收資料、做過濾／解析／變換，然後輸出到 Elasticsearch 或其他目標。
Kibana	資料視覺化與探索介面	對 Elasticsearch 中的資料做查詢、分析、繪圖、做 Dashboard／報表。