1、威胁狩猎架构探索个人简介CONTENTSPART ONEPART TWOPART THREEPART FOUR威胁概述威胁狩猎整体架构资产与情报威胁狩猎实践外部威胁业余爱好者漏洞研究人员竞争对手黑产组织黑客团伙网络恐怖组织国家行为体内部威胁角色动机行为目标工程师意外泄露用户数据营销人员过失数据访问源代码职能人员妥协删除文档运营报复篡改基础设施运维金钱消息外泄服务高管炫耀注入重要情报内部人员合作伙伴关联人员威胁分类威胁分级业余爱好者公开攻击技术与工具炫耀、漏洞赏金漏洞研究人员具备部分专有攻击技术技术与利益驱动黑产组织/团伙完整的攻击平台部分掌握0day利益驱动/意识形态驱动网络恐怖组织0day挖

2、掘能力大规模漏洞利用开发能力少量基础设施意识形态驱动较大破坏力国家行为体基础设施控制供应链控制漏洞制造能力大量关键0day意识形态政治、舆论优势网络/空间战争内部威胁举例安全工程师被利诱交出加解密私钥工程师代码错误，测试低价优惠配置成任意获取客服人员帮朋友查用户手机号身份证件损失直接资金损失 数据泄漏 刑事行政责任 服务不可用 商誉损失 业务无法开展 财务分析师把笔记本电脑落在机场，导致收入数据泄露运维主管在家里用笔记本电脑办公，其子女用电脑玩游戏下载了捆绑远控木马的软件有源代码访问权限的工程师被打了低绩效，植入后门威胁画像示例侦察资源获取初始访问执行持久化权限提升防御规避凭证访问环境掌握横向

3、移动收集信息命令与控制协议渗透影响扫描账户入侵添加硬件脚本创建系统进程访问令牌修改文件目录权限中间攻击技术账号信息SSH/RDP劫持音频捕捉应用层协议控制代码库渗透篡改身份信息收集基础设施获取网络钓鱼crontab流程劫持域策略修改痕迹日志清除暴力破解云服务远程服务电子邮件数据混淆云存储渗透数据销毁网络信息收集基础设施投毒供应链投毒共享模块初始化脚本执行进程注入DLL报警阈值修改密码存储获取容器和资源内部鱼叉钓鱼数据缓存隐写术C2通道拒绝服务社交网络获取账号进程通信创建/操纵账户引导自动执行信任控制颠覆输入捕捉权限组哈希传递票据传递配置文件代理蓝牙渗透勒索搜索引擎用户执行(恶意链接)修改认证流

4、程滥用root权限凭证转存/etc/passwd中间件物理介质攻击框架-ATT&CKCONTENTSPART ONEPART TWOPART THREEPART FOUR威胁概述威胁狩猎整体架构资产与情报威胁狩猎实践主机威胁检测攻击组织技术数据源恶意软件战术进程启动DNS请求日志网络连接账户登录命令审计脚本执行账户变更文件变化内存变化使用使用完成执行数据分析细粒度事件威胁狩猎主动狩猎被动狩猎基线异常检测聚类本地行为偏离行为检测越权Cyber Kill-ChainATT&CK操作审计进程启动连接数量异常告警ETL关键进程/使用日志/流量包威胁狩猎模型基于实体基于事件TTPIOC威胁狩猎探索CON

5、TENTSPART ONEPART TWOPART THREEPART FOUR威胁概述威胁狩猎整体架构资产与情报威胁狩猎实践威胁资产人软件/中间件业务上下文其他岗位工作时间账号用户组权限系统进程状态操作系统容器数据库/组件运维监控中间件框架语言URL资产对应计划任务内核模块业务类型资产用途情报建设威胁情报攻击者基础信息IP、URL、domain、hash攻击过程和结果信息Whois 手机号 邮箱 其他关联信息攻击目标 攻击工具 攻击路径利用漏洞 返回数据 攻击时间攻击行为 攻击意图 业务标签目的影响CONTENTSPART ONEPART TWOPART THREEPART FOUR威胁概述

6、威胁狩猎整体架构资产与情报威胁狩猎实践Log4j漏洞攻击者GET/something HTTP1.1HOST:User-Agent:$JNDI:LDAP:/ rmi ldap 等协议进行RCE流量中包含$，包含响应java类的ladp协议和出站的rmi协议建立连接后，使用whomai id pwd nslookup进程调用id pwd whoami nslookup ls 等使用ping curl 尝试连接baidu、域控、hids进程调用curl ping cmd带有集权系统执行python操作对比时间段内增量的python脚本收集进程信息，查看配置文件进程调用more arp history cat less head history conf等通过配置文件密码尝试横向登录所有进程带该密码的行为漏洞溯源-建模参考资料Google系统架构解密：构建安全可靠的系统ATT&CK实践指南威胁想定分析框架，https:/ Hunting Architecture，https:/