如何尋找威脅?

📌 Hunting 幫你早一步發現威脅，DFIR 幫你把事件調查清楚並回復正常

威脅搜尋 → 主動去找還沒被自動系統發現的壞人行為

數位鑑識 → 發現入侵時，系統化地收集證據、分析攻擊如何發生、移除威脅並恢復系統

DFIR → 要求證據保全與可法證性

攻擊方

• 使用工具避免偵測（Living-off-the-land：PowerShell、wmic、curl、ssh、netcat）
• 清除或修改日誌、時間戳以掩飾行動
• 在不同系統間長時間隱匿（low-and-slow），避免觸發基於閾值的告警
• 使用加密通道或內網 pivot 以取得機密資料或 C2

搜尋流程

1. 建立假設（Hypothesis）：基於情報或經驗提出可驗證假設（e.g., 「內網有可疑的 RDP 帳號被濫用」）
2. 收集資料（Data Collection）：端點日誌、Process創建、Network flow、proxy logs、DNS logs、AD logs、endpoint telemetry、memory snapshots
3. 分析（Hunt & Investigate）：利用查詢、pivot、圖形化工具（例如 Elastic、Splunk、Velociraptor、Osquery）、比對情資
4. 識別與追蹤（Detect & Triage）：確認 IoC/IoA，標記受影響範圍
5. 回應或升級到 IR：如果確認威脅，觸發 DFIR playbook（隔離、取證、清除、修補、回顧）
6. 知識回饋：把新的 IoC/偵測規則加入到 SIEM 與 EDR，改善偵測能力

數位鑑識步驟

1. 初期識別（Identify/Contain）：確認影響範圍、隔離受影響系統（切網或關閉外網）
2. 證據保全（Preserve）：在隔離前盡可能保存 volatile evidence（記憶體）與磁碟映像；記錄 chain of custody
3. 採集（Collect）：採 memory dump（Win: procdump/volatility friendly dump, Linux: dd or LiME）、磁碟鏡像（dd, FTK Imager）、系統日誌、網路封包（pcap）
4. 分析（Analyze）：記憶體分析（process, network sockets, loaded modules, credentials）, timeline 分析（使用 plaso, log2timeline）、惡意文件靜態/動態分析（sandbox）
5. 清除與修復（Eradicate & Remediate）：移除惡意軟體、更新補丁、重置密碼/憑證、恢復服務
6. 回顧（Lessons Learned）：更新防禦、改善 playbook、分享情資

工具

• 端點 telemetry / EDR：CrowdStrike, SentinelOne, CarbonBlack, OSQuery, Velociraptor
• SIEM / 日誌平台：Splunk, Elastic/ELK, QRadar, SumoLogic
• 網路流量 & pcap：Zeek (Bro), Suricata, tcpdump, Wireshark
• 記憶體 / 映像分析：Volatility, Rekall, LiME (Linux memory acquisition)
• 磁碟映像與 timeline：FTK Imager, Autopsy, Plaso (log2timeline), Sleuth Kit
• 惡意程式分析 / 沙箱：Cuckoo, Any.Run, Hybrid-Analysis
• 威脅搜尋工具：Velociraptor, GRR, Osquery, Huntress scripts, Yara（檔案/記憶體樣式比對）
• 攻擊面視覺化：BloodHound（AD）、ELK dashboards、Graph tools

偵測指標

• 可疑檔案 hash、惡意 domain / IP、已知 C2 domain、被修改的 bin/exec

  常見 IoA (Indicator of Attack / Behavioural)：

• 非互動式帳號在工作時間外執行 interactive shell

• 突然有 process spawn powershell -nop -w hidden -enc ... 或 curl | sh 類型命令

• 大量 base64 or exe 寫入 temp 目錄、非典型證書使用、日誌被刪除或時間調整

• 同一帳號在短時間內從多地登入（Impossible travel）

• Endpoint 發起到可疑外部 IP 的長連線或頻繁 DNS query pattern

結論

📌 威脅搜尋以主動、假設驅動的方式

在海量日誌中找出未被自動化規則捕捉的可疑行為

能顯著縮短攻擊者在環境中潛伏的時間

📌 數位鑑識（DFIR）則在事件確認後提供系統化的證據採集

分析與恢復流程，確保能回溯攻擊全貌

並提供法律/合規上可採信的證據

Hunting 與 DFIR 與 EDR、SIEM、網路監控及資安情資緊密結合

形成「發現→採集→分析→回應→回饋」的閉環