Day-226-渗透测试中的威胁情报与狩猎

# Day 245: 渗透测试中的威胁情报与狩猎

> 渗透测试系列第 35 天 | 预计阅读时间：40 分钟 | 难度：★★★★★

---

## 清单 目录
1. [威胁情报概述](#威胁情报概述)
2. [威胁情报类型](#威胁情报类型)
3. [威胁情报来源](#威胁情报来源)
4. [威胁情报收集](#威胁情报收集)
5. [威胁情报分析](#威胁情报分析)
6. [威胁情报平台](#威胁情报平台)
7. [威胁狩猎基础](#威胁狩猎基础)
8. [威胁狩猎方法论](#威胁狩猎方法论)
9. [狩猎技术与工具](#狩猎技术与工具)
10. [ATT&CK 框架应用](#attck-框架应用)
11. [威胁情报与红队](#威胁情报与红队)
12. [实战案例](#实战案例)
13. [总结与思考](#总结与思考)
14. [参考资料](#参考资料)

---

## 威胁情报概述

### 什么是威胁情报

威胁情报 (Threat Intelligence) 是经过收集、处理、分析的安全信息，帮助组织理解、预防和响应网络威胁。它不是原始数据，而是经过加工的、可操作的情报。

```
┌─────────────────────────────────────────────────────────────────┐
│                    威胁情报价值链                                │
├─────────────────────────────────────────────────────────────────┤
│                                                                 │
│  数据 (Data)                                                    │
│    ↓ 收集                                                       │
│  信息 (Information)                                             │
│    ↓ 处理                                                       │
│  情报 (Intelligence)                                            │
│    ↓ 分析                                                       │
│  可操作情报 (Actionable Intelligence)                           │
│    ↓ 应用                                                       │
│  决策与行动 (Decision & Action)                                 │
│                                                                 │
│  示例：                                                         │
│  原始数据：192.168.1.100 发起了 1000 次连接                         │
│  信息：192.168.1.100 是已知 C2 服务器                              │
│  情报：该 C2 属于 APT29，使用 Cobalt Strike，目标金融行业          │
│  行动：阻断 IP，搜索 Cobalt Strike 特征，加强金融系统监控          │
│                                                                 │
└─────────────────────────────────────────────────────────────────┘
```

### 威胁情报重要性

```
为什么威胁情报至关重要:
├── 主动防御
│   ├── 在攻击前了解威胁
│   ├── 提前部署防护
│   └── 减少响应时间
├── 情境理解
│   ├── 了解攻击者动机
│   ├── 了解攻击者 TTPs
│   └── 了解攻击目标
├── 优先级排序
│   ├── 识别最相关威胁
│   ├── 合理分配资源
│   └── 聚焦高优先级
├── 决策支持
│   ├── 基于情报做决策
│   ├── 投资安全控制
│   └── 制定安全策略
└── 共享协作
    ├── 行业信息共享
    ├── 社区协作
    └── 公私合作
```

### 威胁情报生命周期

```
威胁情报生命周期:
├── 规划与指导
│   ├── 定义需求
│   ├── 确定优先级
│   └── 制定计划
├── 收集
│   ├── 开源情报 (OSINT)
│   ├── 技术情报 (TECHINT)
│   ├── 人力情报 (HUMINT)
│   └── 内部情报
├── 处理
│   ├── 数据标准化
│   ├── 数据验证
│   └── 数据关联
├── 分析
│   ├── 模式识别
│   ├── 关联分析
│   ├── 归因分析
│   └── 影响评估
├── 传播
│   ├── 报告编写
│   ├── 格式转换
│   └── 分发渠道
└── 反馈
    ├── 效果评估
    ├── 需求调整
    └── 持续改进
```

---

## 威胁情报类型

### 战略情报

```
战略情报 (Strategic Intelligence):
├── 受众
│   └── C 级别高管、董事会
├── 内容
│   ├── 威胁趋势
│   ├── 风险态势
│   ├── 行业威胁
│   └── 地缘政治
├── 特点
│   ├── 非技术性
│   ├── 高层次
│   ├── 长期视角
│   └── 决策支持
├── 示例
│   ├── "金融行业面临 APT 威胁增加"
│   ├── "某国家支持的黑客组织活跃"
│   └── "勒索软件攻击趋势上升"
└── 格式
    ├── 执行摘要
    ├── 趋势报告
    └── 风险评估
```

### 战术情报

```
战术情报 (Tactical Intelligence):
├── 受众
│   └── 安全运营、SOC 分析师
├── 内容
│   ├── 攻击者 TTPs
│   ├── 攻击流程
│   ├── 工具使用
│   └── 防御建议
├── 特点
│   ├── 技术性
│   ├── 可操作
│   ├── 中期视角
│   └── 防御指导
├── 示例
│   ├── "APT29 使用 Cobalt Strike 进行初始访问"
│   ├── "攻击者使用钓鱼邮件投递恶意文档"
│   └── "检测到 Mimikatz 凭证提取"
└── 格式
    ├── TTP 报告
    ├── 防御指南
    └── 检测规则
```

### 运营情报

```
运营情报 (Operational Intelligence):
├── 受众
│   └──  incident 响应团队、威胁猎人
├── 内容
│   ├── IOC (威胁指标)
│   ├── 恶意哈希
│   ├── 恶意 IP/域名
│   ├── 攻击签名
│   └── YARA 规则
├── 特点
│   ├── 高度技术性
│   ├── 即时可用
│   ├── 短期视角
│   └── 直接应用
├── 示例
│   ├── "恶意 IP: 192.168.1.100"
│   ├── "恶意域名：c2.evil.com"
│   └── "恶意哈希：abc123..."
└── 格式
    ├── IOC 列表
    ├── STIX/TAXII
    └── SIEM 规则
```

### 技术情报

```
技术情报 (Technical Intelligence):
├── 受众
│   └── 安全工程师、分析师
├── 内容
│   ├── 恶意软件分析
│   ├── 漏洞信息
│   ├── 工具特征
│   └── 技术细节
├── 特点
│   ├── 深度技术
│   ├── 详细分析
│   └── 工具导向
├── 示例
│   ├── "恶意软件使用 XOR 加密"
│   ├── "漏洞 CVE-2023-1234 影响 XX 产品"
│   └── "Cobalt Strike Beacon 特征"
└── 格式
    ├── 恶意软件报告
    ├── 漏洞公告
    └── 技术博客
```

---

## 威胁情报来源

### 开源情报 (OSINT)

```
开源情报来源:
├── 新闻与媒体
│   ├── 安全新闻网站
│   ├── 技术博客
│   └── 社交媒体
├── 政府与机构
│   ├── CISA (美国)
│   ├── NCSC (英国)
│   ├── ENISA (欧盟)
│   └── 各国 CERT
├── 厂商报告
│   ├── 安全厂商报告
│   ├── 威胁研究报告
│   └── 漏洞公告
├── 社区资源
│   ├── GitHub
│   ├── 安全论坛
│   └── 邮件列表
└── 暗网
    ├── 暗网论坛
    ├── 市场监控
    └── 泄露数据
```

```bash
# OSINT 收集工具
# 使用 theHarvester 收集信息
theHarvester -d target.com -b google,linkedin,shodan

# 使用 Maltego 进行关联分析
maltego

# 使用 SpiderFoot 自动化 OSINT
spiderfoot
```

### 商业情报

```
商业情报提供商:
├── Recorded Future
├── FireEye (Mandiant)
├── CrowdStrike
├── Palo Alto Networks (Unit 42)
├── Symantec (NortonLifeLock)
├── Kaspersky
├── Trend Micro
└── 本地提供商
```

### 内部情报

```
内部情报来源:
├── 安全设备日志
│   ├── 防火墙日志
│   ├── IDS/IPS 日志
│   ├── EDR 日志
│   └── SIEM 日志
├── 事件数据
│   ├── 安全事件
│   ├──  incident 响应
│   └── 漏洞扫描
├── 网络流量
│   ├── NetFlow
│   ├── PCAP
│   └── DNS 日志
└── 终端数据
    ├── 进程信息
    ├── 注册表更改
    └── 文件创建
```

### 共享情报

```
情报共享平台:
├── ISAC (Information Sharing and Analysis Center)
│   ├── FS-ISAC (金融)
│   ├── H-ISAC (医疗)
│   └── 各行业 ISAC
├── MISP (Malware Information Sharing Platform)
├── OpenCTI
├── TAXII 服务器
└── 行业联盟
```

---

## 威胁情报收集

### 自动化收集

```bash
# 使用 MISP 收集情报
# MISP API 示例
curl -X GET "https://misp.example.com/events/index" \
    -H "Authorization: YOUR_API_KEY" \
    -H "Accept: application/json"

# 使用 OpenCTI
# Python SDK
from pycti import OpenCTIApiClient
api = OpenCTIApiClient(
    url="https://opencti.example.com",
    token="YOUR_TOKEN"
)

# 获取威胁指标
indicators = api.indicator.list()
```

### IOC 收集

```
IOC (Indicators of Compromise) 类型:
├── 文件指标
│   ├── MD5/SHA1/SHA256 哈希
│   ├── 文件名
│   ├── 文件大小
│   └── 文件路径
├── 网络指标
│   ├── IP 地址
│   ├── 域名
│   ├── URL
│   └── 邮箱地址
├── 主机指标
│   ├── 注册表键
│   ├── 进程名
│   ├── 服务名
│   └── 用户名
└── 行为指标
    ├── 命令执行
    ├── 网络连接
    └── 文件操作
```

```python
# IOC 提取脚本
import re
import hashlib

def extract_iocs(text):
    iocs = {
        'ip': re.findall(r'\b\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}\b', text),
        'domain': re.findall(r'\b[a-zA-Z0-9-]+\.[a-zA-Z]{2,}\b', text),
        'email': re.findall(r'\b[A-Za-z0-9._%+-]+@[A-Za-z0-9.-]+\.[A-Z|a-z]{2,}\b', text),
        'md5': re.findall(r'\b[a-fA-F0-9]{32}\b', text),
        'sha1': re.findall(r'\b[a-fA-F0-9]{40}\b', text),
        'sha256': re.findall(r'\b[a-fA-F0-9]{64}\b', text),
    }
    return iocs

# 使用
with open('report.txt', 'r') as f:
    text = f.read()
    iocs = extract_iocs(text)
    print(iocs)
```

### TTP 收集

```
TTP (Tactics, Techniques, Procedures) 收集:
├── 攻击者报告
│   └── APT 组织报告
├── 恶意软件分析
│   └── 行为分析
├── 事件报告
│   └── incident 响应报告
└── 研究论文
    └── 安全研究
```

```
TTP 映射到 ATT&CK:
├── 战术 (Tactic)
│   └── 攻击者目标 (如：初始访问)
├── 技术 (Technique)
│   └── 实现目标的方法 (如：钓鱼附件)
└── 程序 (Procedure)
    └── 具体实现 (如：使用恶意 Word 文档)
```

---

## 威胁情报分析

### 关联分析

```
关联分析技术:
├── 时间关联
│   └── 事件时间线分析
├── 技术关联
│   └── TTP 相似性分析
├── 基础设施关联
│   └── IP/域名关联
├── 代码关联
│   └── 代码相似性分析
└── 受害者关联
    └── 目标行业/地区分析
```

### 归因分析

```
归因分析要素:
├── 技术归因
│   ├── 工具使用
│   ├── TTPs
│   └── 基础设施
├── 动机归因
│   ├── 经济动机
│   ├── 政治动机
│   ├── 间谍活动
│   └── 破坏活动
├── 能力归因
│   ├── 技术水平
│   ├── 资源水平
│   └── 组织程度
└── 身份归因
    ├── 国家支持
    ├── 犯罪组织
    ├── 黑客活动分子
    └── 内部人员
```

```
归因置信度:
├── 高置信度
│   └── 多个独立来源确认
├── 中置信度
│   └── 部分证据支持
├── 低置信度
│   └── 有限证据
└── 推测
    └── 基于模式猜测
```

### 威胁评估

```
威胁评估框架:
├── DREAD 模型
│   ├── Damage (损害)
│   ├── Reproducibility (可复现性)
│   ├── Exploitability (可利用性)
│   ├── Affected Users (受影响用户)
│   └── Discoverability (可发现性)
├── STRIDE 模型
│   ├── Spoofing (伪装)
│   ├── Tampering (篡改)
│   ├── Repudiation (抵赖)
│   ├── Information Disclosure (信息泄露)
│   ├── Denial of Service (拒绝服务)
│   └── Elevation of Privilege (权限提升)
└── FAIR 模型
    └── 定量风险分析
```

---

## 威胁情报平台

### MISP

```
MISP (Malware Information Sharing Platform):
├── 功能
│   ├── IOC 存储
│   ├── 情报共享
│   ├── 关联分析
│   └── 自动化集成
├── 部署
│   ├── 自托管
│   └── 云服务
├── 集成
│   ├── SIEM
│   ├── 防火墙
│   └── EDR
└── 社区
    └── 全球 MISP 实例
```

```bash
# MISP 安装
git clone https://github.com/MISP/MISP.git
cd MISP
# 按照安装指南配置

# MISP API 使用
curl -X GET "https://misp.example.com/events/index" \
    -H "Authorization: API_KEY" \
    -H "Accept: application/json"
```

### OpenCTI

```
OpenCTI (Open Cyber Threat Intelligence):
├── 功能
│   ├── 知识图谱
│   ├── 情报管理
│   ├── 可视化
│   └── 连接器
├── 数据模型
│   ├── 攻击者
│   ├── 活动
│   ├── 工具
│   ├── 漏洞
│   └── IOC
└── 集成
    ├── MISP
    ├── MITRE ATT&CK
    └── 各种情报源
```

```bash
# OpenCTI 部署 (Docker)
git clone https://github.com/OpenCTI-Platform/docker.git
cd docker
docker-compose up -d

# OpenCTI Python SDK
from pycti import OpenCTIApiClient
api = OpenCTIApiClient(
    url="http://localhost:8080",
    token="YOUR_TOKEN"
)

# 创建威胁指标
indicator = api.indicator.create(
    name="Malicious IP",
    pattern="[ipv4:addr = '192.168.1.100']",
    pattern_type="stix"
)
```

### 其他平台

| 平台 | 类型 | 特点 |
|------|------|------|
| **MISP** | 开源 | 社区广泛 |
| **OpenCTI** | 开源 | 知识图谱 |
| **Anomali** | 商业 | 企业级 |
| **ThreatConnect** | 商业 | 平台完整 |
| **Recorded Future** | 商业 | 情报丰富 |
| **ATT&CK Navigator** | 免费 | ATT&CK 可视化 |

---

## 威胁狩猎基础

### 什么是威胁狩猎

```
威胁狩猎 (Threat Hunting):
├── 定义
│   └── 主动搜索网络中的威胁
├── 与监控的区别
│   ├── 监控：被动告警
│   └── 狩猎：主动搜索
├── 目标
│   ├── 发现隐藏威胁
│   ├── 缩短检测时间
│   └── 提高检测能力
└── 前提
    ├── 基础安全控制
    ├── 数据收集
    └── 分析能力
```

### 狩猎成熟度模型

```
狩猎成熟度等级:
├── Level 1: 初始
│   ├── 依赖告警
│   ├── 临时狩猎
│   └── 有限数据
├── Level 2: 发展
│   ├── 假设驱动
│   ├── 定期狩猎
│   └── 数据改善
├── Level 3: 成熟
│   ├── 情报驱动
│   ├── 自动化狩猎
│   └── 丰富数据
└── Level 4: 先进
    ├── 预测性狩猎
    ├── AI/ML 辅助
    └── 全面数据
```

### 狩猎前提条件

```
狩猎前提条件:
├── 数据收集
│   ├── 终端日志
│   ├── 网络流量
│   ├── 身份验证日志
│   └── 应用日志
├── 数据存储
│   ├── SIEM
│   ├── 数据湖
│   └── 长期存储
├── 分析工具
│   ├── 查询工具
│   ├── 可视化工具
│   └── 分析平台
└── 人员技能
    ├── 威胁知识
    ├── 分析技能
    └── 工具使用
```

---

## 威胁狩猎方法论

### 假设驱动狩猎

```
假设驱动狩猎流程:
├── 1. 形成假设
│   ├── 基于情报
│   ├── 基于 TTPs
│   └── 基于异常
├── 2. 设计查询
│   ├── 数据源选择
│   ├── 查询编写
│   └── 测试查询
├── 3. 执行狩猎
│   ├── 运行查询
│   ├── 分析结果
│   └── 迭代优化
├── 4. 验证发现
│   ├── 确认威胁
│   ├── 误报分析
│   └── 影响评估
└── 5. 响应与改进
    ├── 事件响应
    ├── 检测改进
    └── 知识沉淀
```

```
假设示例:
├── "攻击者可能使用 PowerShell 进行横向移动"
├── "内网可能存在未授权的 C2 通信"
├── "可能有攻击者使用合法凭证"
└── "可能有数据外传活动"
```

### 情报驱动狩猎

```
情报驱动狩猎:
├── 输入
│   ├── 威胁情报报告
│   ├── IOC 列表
│   └── TTP 描述
├── 转换
│   ├── IOC 转查询
│   ├── TTP 转检测
│   └── 情报转假设
├── 执行
│   ├── 搜索 IOC
│   ├── 检测 TTP
│   └── 验证情报
└── 输出
    ├── 发现确认
    ├── 情报验证
    └── 检测规则
```

### 异常驱动狩猎

```
异常驱动狩猎:
├── 基线建立
│   ├── 正常行为基线
│   ├── 流量基线
│   └── 用户基线
├── 异常检测
│   ├── 统计异常
│   ├── 行为异常
│   └── 时间异常
├── 调查分析
│   ├── 异常原因
│   ├── 威胁可能性
│   └── 业务影响
└── 响应处置
    ├── 确认威胁
    ├── 误报处理
    └── 基线调整
```

---

## 狩猎技术与工具

### 数据源

```
关键数据源:
├── 终端数据
│   ├── Sysmon 日志
│   ├── Windows 事件日志
│   ├── 进程创建
│   └── 文件操作
├── 网络数据
│   ├── NetFlow
│   ├── DNS 日志
│   ├── 代理日志
│   └── 防火墙日志
├── 身份数据
│   ├── 认证日志
│   ├── 权限变更
│   └── 登录活动
└── 应用数据
    ├── Web 服务器日志
    ├── 数据库日志
    └── 应用日志
```

### Sysmon 配置

```xml

<Sysmon schemaversion="4.70">
  <EventFiltering>
    
    <RuleGroup groupRelation="or">
      <ProcessCreate onmatch="exclude">
        <Image condition="is">C:\Windows\System32\svchost.exe</Image>
      </ProcessCreate>
    </RuleGroup>
    
    
    <RuleGroup groupRelation="or">
      <NetworkConnect onmatch="include">
        <Image condition="is">C:\Windows\System32\powershell.exe</Image>
      </NetworkConnect>
    </RuleGroup>
    
    
    <RuleGroup groupRelation="or">
      <FileCreate onmatch="include">
        <TargetFilename condition="end with">.exe</TargetFilename>
        <TargetFilename condition="end with">.dll</TargetFilename>
      </FileCreate>
    </RuleGroup>
  </EventFiltering>
</Sysmon>
```

### 狩猎查询示例

```sql
-- 检测 PowerShell 下载
SELECT * FROM process_creation
WHERE process_name = 'powershell.exe'
AND command_line LIKE '%DownloadFile%'
OR command_line LIKE '%Net.WebClient%'

-- 检测异常登录
SELECT * FROM authentication
WHERE login_time BETWEEN '02:00' AND '05:00'
AND user NOT IN ('admin', 'backup')

-- 检测横向移动
SELECT * FROM network_connection
WHERE destination_port IN (445, 135, 139, 3389)
AND source_ip IN (internal_subnet)

-- 检测数据外传
SELECT * FROM network_connection
WHERE bytes_sent > 100000000
AND destination NOT IN (known_services)
```

### 狩猎工具

| 工具 | 用途 | 平台 |
|------|------|------|
| **Splunk** | SIEM/分析 | 跨平台 |
| **Elastic Stack** | SIEM/分析 | 跨平台 |
| **Azure Sentinel** | 云 SIEM | Azure |
| **Sysmon** | 终端监控 | Windows |
| **OSQuery** | 终端查询 | 跨平台 |
| **Velociraptor** | 终端响应 | 跨平台 |
| **Sigma** | 检测规则 | 通用 |
| **Jupyter** | 数据分析 | Python |

---

## ATT&CK 框架应用

### ATT&CK 框架

```
MITRE ATT&CK 框架:
├── 战术 (Tactics)
│   └── 14 个战术类别
├── 技术 (Techniques)
│   └── 200+ 技术
├── 子技术 (Sub-techniques)
│   └── 更细粒度
├── 软件 (Software)
│   └── 恶意软件/工具
├── 组织 (Groups)
│   └── APT 组织
└── 活动 (Campaigns)
    └── 攻击活动
```

### 战术类别

```
ATT&CK 战术 (企业):
├── TA0001: Initial Access (初始访问)
├── TA0002: Execution (执行)
├── TA0003: Persistence (持久化)
├── TA0004: Privilege Escalation (权限提升)
├── TA0005: Defense Evasion (防御规避)
├── TA0006: Credential Access (凭证访问)
├── TA0007: Discovery (发现)
├── TA0008: Lateral Movement (横向移动)
├── TA0009: Collection (收集)
├── TA0010: Exfiltration (外传)
├── TA0011: Command and Control (指挥控制)
├── TA0040: Impact (影响)
├── TA0042: Reconnaissance (侦察)
└── TA0043: Resource Development (资源开发)
```

### 狩猎映射

```
将狩猎映射到 ATT&CK:
├── 选择战术
│   └── 如：Lateral Movement
├── 选择技术
│   └── 如：T1021 - Remote Services
├── 设计检测
│   └── 检测 RDP/SMB/WMI 使用
├── 编写查询
│   └── SIEM 查询
└── 执行狩猎
    └── 搜索异常
```

```
狩猎矩阵示例:
┌─────────────┬──────────────┬──────────────┬──────────────┐
│    战术      │    技术       │    检测       │    状态       │
├─────────────┼──────────────┼──────────────┼──────────────┤
│ 初始访问     │ T1566 钓鱼    │ 邮件网关日志  │    已覆盖     │
│ 执行         │ T1059 命令行  │ 进程日志      │    已覆盖     │
│ 持久化       │ T1053 计划任务 │ 计划任务日志  │    部分覆盖   │
│ 横向移动     │ T1021 远程服务 │ 网络日志      │    需改进     │
│ 外传         │ T1041 外传    │ 流量分析      │    需改进     │
└─────────────┴──────────────┴──────────────┴──────────────┘
```

---

## 威胁情报与红队

### 红队使用情报

```
红队如何使用威胁情报:
├── TTP 选择
│   ├── 模仿特定 APT
│   ├── 使用相关工具
│   └── 遵循攻击流程
├── 基础设施
│   ├── 使用类似基础设施
│   ├── 模仿流量模式
│   └── 避免已知 IOC
├── 目标选择
│   ├── 模仿攻击者目标
│   └── 选择类似行业
└── 报告改进
    ├── 基于情报建议
    └── 提高检测能力
```

### 蓝队使用情报

```
蓝队如何使用威胁情报:
├── 检测改进
│   ├── 添加 IOC 检测
│   ├── 实施 TTP 检测
│   └── 优化告警
├── 狩猎活动
│   ├── 情报驱动狩猎
│   └── 假设验证
├── 防御加固
│   ├── 针对 TTP 加固
│   └── 优先修复
└── 培训演练
    ├── 基于真实威胁
    └── 提高意识
```

### 紫队协作

```
紫队协作模式:
├── 情报共享
│   ├── 红队分享 TTP
│   └── 蓝队分享检测
├── 联合狩猎
│   ├── 共同设计狩猎
│   └── 验证检测效果
├── 持续改进
│   ├── 基于结果改进
│   └── 迭代优化
└── 能力建设
    ├── 技能提升
    └── 工具改进
```

---

## 实战案例

### 案例一：APT 模拟狩猎

#### 场景描述

```
背景：某金融机构
威胁：APT28 (Fancy Bear)
目标：检测 APT28 TTPs
时间：4 周狩猎活动
```

#### 狩猎过程

```
Week 1: 情报收集
┌─────────────────────────────────────────────────────────┐
│ - 收集 APT28 报告                                       │
│   - MITRE ATT&CK: APT28 页面                            │
│   - FireEye/Mandiant 报告                              │
│   - CISA 警报                                           │
│                                                         │
│ - 提取 TTPs                                             │
│   - T1566.001: 钓鱼附件                                 │
│   - T1059.001: PowerShell                               │
│   - T1003.001: LSASS 内存转储                           │
│   - T1021.001: 远程桌面                                 │
│                                                         │
│ - 提取 IOC                                              │
│   - 恶意域名列表                                        │
│   - 恶意 IP 列表                                          │
│   - 恶意哈希列表                                        │
└─────────────────────────────────────────────────────────┘

Week 2-3: 狩猎执行
┌─────────────────────────────────────────────────────────┐
│ - 狩猎 1: PowerShell 异常使用                            │
│   - 查询：PowerShell 下载/执行                            │
│   - 结果：发现 15 个可疑活动                              │
│   - 验证：3 个确认为恶意                                  │
│                                                         │
│ - 狩猎 2: 凭证转储检测                                   │
│   - 查询：LSASS 访问模式                                 │
│   - 结果：发现 5 个可疑进程                              │
│   - 验证：1 个确认为 Mimikatz                           │
│                                                         │
│ - 狩猎 3: 横向移动检测                                   │
│   - 查询：RDP/SMB 异常连接                               │
│   - 结果：发现 20 个异常连接                             │
│   - 验证：2 个确认为未授权                              │
└─────────────────────────────────────────────────────────┘

Week 4: 响应与改进
┌─────────────────────────────────────────────────────────┐
│ - 事件响应                                              │
│   - 隔离受影响主机                                      │
│   - 清除恶意软件                                        │
│   - 重置凭证                                            │
│                                                         │
│ - 检测改进                                              │
│   - 添加 5 条新检测规则                                   │
│   - 优化 3 条现有规则                                     │
│   - 部署 EDR 增强监控                                     │
│                                                         │
│ - 知识沉淀                                              │
│   - 编写狩猎报告                                        │
│   - 更新狩猎手册                                        │
│   - 培训 SOC 团队                                        │
└─────────────────────────────────────────────────────────┘
```

#### 成果

```
狩猎成果:
├── 发现
│   ├── 3 个确认的恶意活动
│   ├── 1 个活跃的 Mimikatz 使用
│   └── 2 个未授权远程访问
├── 改进
│   ├── 5 条新检测规则
│   ├── 3 条优化规则
│   └── EDR 配置优化
└── 能力
    ├── 狩猎流程文档化
    ├── 团队技能提升
    └── 持续狩猎机制
```

### 案例二：勒索软件狩猎

#### 场景描述

```
背景：某制造企业
威胁：勒索软件攻击
目标：主动发现勒索软件活动
时间：持续狩猎项目
```

#### 狩猎重点

```
狩猎重点:
├── 初始访问检测
│   ├── 钓鱼邮件
│   └── 漏洞利用
├── 执行检测
│   ├── 可疑进程
│   └── 脚本执行
├── 横向移动检测
│   ├── 异常登录
│   └── 文件共享访问
├── 加密前活动
│   ├── 数据收集
│   └── 卷影删除
└── 外传检测
    └── 大量数据外传
```

---

## 总结与思考

### 核心要点回顾

1. **威胁情报是主动防御基础**
   - 了解威胁才能防御威胁
   - 情报驱动决策
   - 持续更新情报

2. **情报类型多样**
   - 战略/战术/运营/技术
   - 不同受众不同格式
   - 可操作是关键

3. **威胁狩猎是主动检测**
   - 假设驱动
   - 情报驱动
   - 异常驱动

4. **ATT&CK 是通用语言**
   - 标准化 TTP 描述
   - 便于共享协作
   - 指导狩猎方向

5. **红蓝协作最大化价值**
   - 情报共享
   - 联合狩猎
   - 持续改进

### 深入思考

#### 威胁情报的挑战

1. **信息过载**: 情报太多难以处理
2. **质量参差**: 情报准确性不一
3. **时效性**: 情报过期快
4. **整合困难**: 多源情报整合难
5. **行动转化**: 情报到行动有差距

#### 威胁狩猎的挑战

1. **数据不足**: 缺乏必要日志
2. **技能要求**: 需要高水平分析师
3. **时间投入**: 狩猎耗时
4. **误报处理**: 大量误报
5. **效果衡量**: 难以量化价值

#### 未来趋势

1. **自动化**: AI/ML 辅助分析
2. **整合化**: 平台整合
3. **共享化**: 更多情报共享
4. **实时化**: 近实时情报
5. **预测化**: 预测性狩猎

### 实战建议

1. **对组织**:
   - 建立情报收集能力
   - 投资威胁狩猎团队
   - 实施 ATT&CK 框架
   - 促进红蓝协作
   - 持续改进流程

2. **对安全团队**:
   - 学习 ATT&CK 框架
   - 掌握狩猎技能
   - 利用开源情报
   - 编写检测规则
   - 分享狩猎发现

3. **对个人**:
   - 关注威胁情报
   - 学习分析技能
   - 参与社区
   - 持续学习
   - 实践狩猎

---

## 参考资料

### 学习资源

- **MITRE ATT&CK**
  - https://attack.mitre.org/

- **CISA Threat Intelligence**
  - https://www.cisa.gov/threat-intelligence

- **OWASP Threat Intelligence**
  - https://owasp.org/www-community/controls/Threat_Intelligence

### 工具资源

| 工具 | 用途 | 链接 |
|------|------|------|
| **MISP** | 情报平台 | https://www.misp-project.org/ |
| **OpenCTI** | 情报平台 | https://www.opencti.io/ |
| **ATT&CK Navigator** | ATT&CK 可视化 | https://mitre-attack.github.io/attack-navigator/ |
| **Sigma** | 检测规则 | https://github.com/SigmaHQ/sigma |
| **Sysmon** | 终端监控 | https://docs.microsoft.com/en-us/sysinternals/ |
| **Velociraptor** | 终端响应 | https://www.velociraptor.app/ |
| **Elastic Security** | SIEM | https://www.elastic.co/security/ |
| **Splunk** | SIEM | https://www.splunk.com/ |

### 书籍推荐

1. **《Threat Intelligence》**
   - 作者：Eric M. Cole
   - 威胁情报权威指南

2. **《Practical Threat Intelligence and Data-Driven Threat Hunting》**
   - 作者：Vikram Khatri
   - 实战威胁狩猎

3. **《The MITRE ATT&CK Framework》**
   - MITRE 官方文档
   - ATT&CK 框架详解

4. **《Intelligence-Driven Incident Response》**
   - 作者：Scott J. Roberts
   - 情报驱动响应

---

*365 天信息安全技术系列 | Day 245 | 渗透测试系列 | 威胁情报与狩猎*
*创建时间：2026-04-12 | 作者：安全专家 · 严谨专业版*