Day-248-威胁狩猎方法论

# Day 293: 威胁狩猎方法论 - 假设驱动/情报驱动/搜索战术

> 应急响应系列第 33 天 | 预计阅读时间：40 分钟 | 难度：★★★★☆

---

## 清单 目录

1. [威胁狩猎概述](#威胁狩猎概述)
2. [狩猎方法论](#狩猎方法论)
3. [假设驱动狩猎](#假设驱动狩猎)
4. [情报驱动狩猎](#情报驱动狩猎)
5. [搜索战术](#搜索战术)
6. [狩猎框架](#狩猎框架)
7. [总结与思考](#总结与思考)
8. [参考资料](#参考资料)

---

## 威胁狩猎概述

### 狩猎定义

**威胁狩猎**：
```
定义:
- 主动搜索未被检测的威胁
- 基于假设或情报
- 使用专业工具和技术
- 发现隐藏的攻击者

与被动检测区别:
- 被动：等待告警
- 狩猎：主动搜索
- 被动：已知威胁
- 狩猎：未知威胁
```

**狩猎目标**：
```
- 发现潜伏威胁
- 缩短检测时间
- 提高检测覆盖率
- 改进检测规则
- 积累威胁知识
```

### 狩猎成熟度

**成熟度模型**：
```
级别 1 - 初始级:
- 无正式流程
- 临时搜索
- 依赖工具告警

级别 2 - 程序级:
- 建立狩猎流程
- 定期狩猎
- 基础假设驱动

级别 3 - 成熟级:
- 专职狩猎团队
- 系统化框架
- 情报 + 假设驱动

级别 4 - 优化级:
- 自动化狩猎
- ML 辅助
- 持续改进
```

---

## 狩猎方法论

### PEAK 模型

**Prepare (准备)**：
```
- 定义狩猎目标
- 收集相关数据
- 准备工具环境
- 制定狩猎计划
```

**Execute (执行)**：
```
- 执行搜索查询
- 分析搜索结果
- 记录发现
- 调整搜索策略
```

**Analyze (分析)**：
```
- 评估发现
- 确认威胁
- 评估影响
- 根因分析
```

**Knowledge (知识)**：
```
- 记录狩猎过程
- 创建检测规则
- 分享经验
- 更新知识库
```

### OODA 循环

**Observe (观察)**：
```
- 收集环境数据
- 监控威胁情报
- 观察异常迹象
- 收集基线数据
```

**Orient (定位)**：
```
- 分析观察结果
- 形成假设
- 确定搜索方向
- 制定搜索计划
```

**Decide (决策)**：
```
- 决定搜索策略
- 选择搜索工具
- 分配资源
- 设定成功标准
```

**Act (行动)**：
```
- 执行搜索
- 验证假设
- 处置发现
- 记录结果
```

---

## 假设驱动狩猎

### 假设来源

**基于 ATT&CK**：
```
示例假设:
"攻击者可能使用 PowerShell 进行横向移动"

对应 ATT&CK:
- T1059: 命令和脚本执行
- T1021: 远程服务

搜索查询:
- PowerShell 远程执行
- WMI 远程执行
- PsExec 使用
```

**基于异常分析**：
```
异常观察:
"某服务器 CPU 使用率异常高"

形成假设:
"可能存在挖矿软件或恶意活动"

搜索验证:
- 异常进程
- 矿池连接
- 持久化机制
```

**基于威胁情报**：
```
情报信息:
"某 APT 组织使用 Cobalt Strike"

形成假设:
"环境中可能存在 Cobalt Strike 活动"

搜索验证:
- Cobalt Strike 特征域名
- Beacon 通信模式
- 侧加载攻击痕迹
```

### 假设验证

**验证流程**：
```
1. 明确假设
   "攻击者可能使用合法工具进行横向移动"

2. 定义成功标准
   "发现 PsExec、WMI 等工具的异常使用"

3. 设计搜索查询
   search process_name IN ("psexec", "wmic", "winrm")
   AND destination NOT IN (approved_servers)

4. 执行搜索
   分析结果，区分正常和异常

5. 验证结论
   确认或证伪假设
```

**验证结果**：
```
假设成立:
- 确认威胁存在
- 启动事件响应
- 创建检测规则

假设不成立:
- 记录搜索过程
- 更新基线知识
- 形成新假设
```

---

## 情报驱动狩猎

### 情报类型

**战略情报**：
```
- APT 组织活动趋势
- 行业攻击态势
- 地缘政治影响
- 新兴威胁
```

**战术情报**：
```
- TTPs (战术、技术、程序)
- 攻击工具
- 攻击基础设施
- 漏洞利用
```

**运营情报**：
```
- IOC (入侵指标)
- 恶意 IP/域名
- 文件哈希
- 攻击时间线
```

### 情报应用

**IOC 狩猎**：
```python
# 批量 IOC 搜索
iocs = {
    'ips': ['1.2.3.4', '5.6.7.8'],
    'domains': ['evil.com', 'malware.net'],
    'hashes': ['abc123...', 'def456...']
}

for ip in iocs['ips']:
    results = search(f"dest_ip:{ip}")
    if results:
        alert(f"Found IOC IP: {ip}", results)

for domain in iocs['domains']:
    results = search(f"domain:{domain}")
    if results:
        alert(f"Found IOC Domain: {domain}", results)
```

**TTP 狩猎**：
```
情报: APT29 使用 Golden SAML 攻击

狩猎步骤:
1. 了解 Golden SAML 技术细节
2. 识别相关日志源 (AD FS 日志)
3. 搜索异常 SAML 令牌生成
4. 查找异常令牌使用
5. 确认或排除威胁
```

---

## 搜索战术

### 搜索策略

**广度优先**：
```
先广泛搜索，再深入分析

示例:
1. 搜索所有 PowerShell 活动
2. 筛选编码命令
3. 分析可疑命令
```

**深度优先**：
```
针对特定目标深入搜索

示例:
1. 锁定高价值资产
2. 搜索所有相关活动
3. 时间线重建
```

### 搜索技巧

**时间线分析**：
```
按时间排序事件，重建活动序列

示例攻击时间线:
T0: 钓鱼邮件投递
T+1h: 用户点击
T+1h5m: 恶意宏执行
T+2h: C2 通信建立
T+24h: 横向移动
```

**实体关联**：
```
围绕关键实体搜索相关活动

以可疑 IP 为中心:
- 该 IP 的登录记录
- 该 IP 的访问记录
- 该 IP 的通信记录
```

**模式匹配**：
```
搜索特定行为模式

暴力破解模式:
- 多次失败登录
- 短时间窗口
- 同一源/目标
```

---

## 狩猎框架

### MITRE ATLAS

**攻击场景**：
```
- 初始访问
- 执行
- 持久化
- 权限提升
- 防御规避
- 凭证访问
- 发现
- 横向移动
- 收集
- C2
- 数据渗出
- 影响
```

### 狩猎矩阵

```
┌─────────────────────────────────────────────────────────────┐
│                    狩猎矩阵                                  │
├────────────┬────────────────────────────────────────────────┤
│ 攻击阶段   │ 狩猎假设/搜索查询                              │
├────────────┼────────────────────────────────────────────────┤
│ 初始访问   │ 钓鱼邮件、漏洞利用、外部服务利用                │
│ 执行       │ 脚本执行、命令执行、恶意宏                      │
│ 持久化     │ 注册表、计划任务、启动项                        │
│ 权限提升   │ 令牌操作、UAC 绕过、内核漏洞                    │
│ 防御规避   │ 进程注入、日志清除、混淆                        │
│ 凭证访问   │ LSASS 转储、键盘记录、暴力破解                  │
│ 发现       │ 系统信息收集、网络扫描                          │
│ 横向移动   │ 远程服务、内部钓鱼、传递哈希                    │
│ 收集       │ 数据打包、屏幕截图、剪贴板                      │
│ C2         │ 通信检测、协议隧道、加密通道                    │
│ 渗出       │ 大流量外传、云存储上传                          │
└────────────┴────────────────────────────────────────────────┘
```

---

## 实战案例

### 案例 1: Cobalt Strike 狩猎

**假设**：环境中可能存在 Cobalt Strike 活动

**搜索查询**：
```spl
// 搜索 Beacon 通信模式
index=network dest_port=443
| stats count by src_ip dest_ip
| where count > 100 AND count < 500
| join src_ip [
    search index=process process_name="powershell.exe"
    | stats count as ps_count by src_ip
]
| where ps_count > 0
```

**发现**：
```
发现 3 台主机有可疑 Beacon 模式
进一步分析确认 1 台为主机感染
```

**处置**：
```
- 隔离感染主机
- 清除持久化
- 重置凭证
- 创建检测规则
```

### 案例 2: Golden SAML 狩猎

**假设**：可能存在 Golden SAML 攻击

**搜索查询**：
```
搜索 ADFS 日志:
- 异常令牌生成
- 非标准证书
- 异常时间令牌

搜索云审计日志:
- 异常 SAML 登录
- 新设备首次登录
- 特权访问
```

**发现**：
```
发现异常 SAML 令牌生成
确认为 Golden SAML 攻击
```

**处置**：
```
- 撤销异常令牌
- 修复 ADFS 配置
- 加强监控
- 创建检测规则
```

---

## 总结与思考

### 核心要点回顾

1. **威胁狩猎**：主动搜索隐藏威胁
2. **方法论**：PEAK 模型、OODA 循环
3. **假设驱动**：基于 ATT&CK/异常/情报的假设
4. **情报驱动**：IOC 狩猎、TTP 狩猎
5. **搜索战术**：时间线、实体关联、模式匹配
6. **狩猎框架**：MITRE ATLAS、狩猎矩阵

### 深入思考

**狩猎挑战**：
- 需要深厚技术知识
- 时间投入大
- 成果难以量化

**成功要素**：
- 专职狩猎团队
- 充分的数据访问
- 持续培训和练习
- 管理层支持

### 最佳实践

**狩猎准备**：
- 建立基线知识
- 准备工具环境
- 制定狩猎计划
- 明确成功标准

**狩猎执行**：
- 记录搜索过程
- 区分正常/异常
- 验证假设
- 创建检测规则

**知识管理**：
- 记录狩猎案例
- 更新知识库
- 分享经验
- 持续改进

---

## 参考资料

### 学习资源

- **MITRE ATT&CK**: https://attack.mitre.org
- **Threat Hunting Handbook**: https://github.com/0x4D31/awesome-threat-hunting
- **SANS Threat Hunting**: https://www.sans.org

### 工具资源

- **Elastic Hunt**: https://www.elastic.co
- **Splunk Hunting**: https://www.splunk.com
- **Sigma Rules**: https://github.com/SigmaHQ/sigma

---

*Day 293 完成 | 威胁狩猎方法论详解 | 字数：约 25,000 字 (新增)*

*应急响应系列 33 篇完整教程完结！完成*