ZBenkova/cybersecurity_lab_threat_hunting_hypotheses

# cybersecurity_lab 威胁狩猎假设 威胁狩猎假设是对潜在恶意活动的有根据推测。它们指导在日志、网络流量和终端中进行主动搜索，以发现隐藏的威胁。每个假设都关注可能表明滥用的模式、异常或行为，帮助安全团队在攻击造成危害之前检测并缓解它们。 ## 威胁狩猎假设 **H1：BITS 下载来自恶意或陌生站点。** 我们分析了 bitsadmin 命令中使用的 URL。审查了来源以确定其是受信任的还是可疑的。根据我们的发现，此假设被 [确认 / 驳回]。 **H2：命令行 Shell 是从异常的父进程（例如 Word 或 Chrome）启动的。** 我们调查了 Sysmon 日志中 cmd.exe 的父进程。由于进程是 [手动 / 从正常进程] 启动的，此行为 [不可疑 / 可疑]，假设被 [确认 / 驳回]。 **H3：在同一登录会话中执行了其他可疑进程。** 我们使用登录 ID（Logon ID）关联事件，并审查了同一会话中的其他进程。未发现重大异常，因此该假设被驳回。（如果您有发现，则为确认。） 我们还通过根据 Sysmon 日志中的时间戳创建事件时间表来分析活动的持续时间。通过比较记录的第一个和最后一个操作，我们能够估算活动持续了多长时间。这有助于确定行为是自动化的还是手动执行的，因为人为驱动的操作通常需要几分钟，而自动化进程的执行速度要快得多。 我们还在日志中观察到了试错行为的迹象。在短时间内执行了多个类似的命令，表明了重复的尝试。这种模式暗示了手动交互，因为自动化进程通常一致地执行命令而没有变化。这些微小的不一致和重试强烈表明命令是由人工手动输入的，而不是由脚本执行的。 ## 如何在 Windows 事件查看器中监控用户活动并区分合法操作和潜在滥用： 这涉及查看关键安全日志，例如登录、进程创建和权限使用。识别滥用需要上下文：重复的登录失败、异常的进程执行或正常工作时间之外的操作可能表明恶意行为，而单一的、预期的操作通常是合法的。为了降低风险，请实施最小权限访问、应用程序白名单，并阻止执行未批准的下载文件，以便用户只能运行必要的软件。 ## 如果我们要用简洁的模板总结我们的狩猎会话： 威胁狩猎总是从一个假设开始——在我们的案例中，它是“使用 bitsadmin 可能提供恶意软件被下载的证据”。 这通常会导致在可用数据（日志）中进行搜索。使用 ACH 方法或其他方法分析结果，可能出现以下结果： 假设得到验证，有足够的证据。这通常会触发事件响应（incident response）。 假设未得到验证，发现了相反的证据。这通常是一个积极的结果，不需要进一步的操作。 我们要么无法判断，要么没有足够的数据。我们需要完善假设（例如，“使用 bitsadmin 连接到未知目标站点”）或获取更多数据（更多可见性）。 ## 练习： 在虚拟 Windows 环境的事件查看器中，我们： - 发现了 10 次 bitsadmin - 总共 10 分钟 - 从 PowerShell 启动，PowerShell 产生于 11:52 - 它是从 explorer 启动的 我的假设： - H1：系统启动了 bits => 不成立 - H2：脚本 => 不成立 如果没有证据，那么有两种可能性，要么系统无法识别这些证据 很有可能，正在持续发生的事情并不奇怪

标签：AI合规, BITS作业, BurpSuite集成, FOFA, Sysmon, 命令行检测, 安全假设, 安全实验室, 异常检测, 恶意活动, 数字取证, 端点安全, 网络安全, 自动化脚本, 补丁管理, 隐私保护