SebbeSmith97/threat-hunting-ioc-2-ttp-t1055

# T1055.001 DLL注入威胁狩猎研究 ## IT-Högskolan IT安全专家专业的毕业论文项目，2026年5月 ## 项目简介 本仓库包含针对 MITRE ATT&CK 子技术 **T1055.001 动态链接库注入** 的基于行为的威胁狩猎研究，实现于 **Microsoft Defender XDR 高级狩猎**。 该研究是我撰写的 IT 安全专家毕业论文项目 *《从 IoC 到 TTP》* 的交付物之一。其目的是简化基于假设、基于行为的狩猎流程，使其可跨客户租户复用，从而帮助在 MSSP 环境中工作的 SOC 分析师。 ## 仓库结构 ``` / ├── README.md ← This file ├── TEMPLATE.md ← Blank entry template (copy to add new entries) └── entries/ └── T1055.001-H01_dll-injection.md ← Example entry: DLL injection ``` ## 如何阅读条目 每个条目文件包含六个部分： | 部分 | 内容 | |------|------| | **元数据** | 狩猎ID、技术、战术、痛苦金字塔级别、假设来源、作者、版本、状态 | | **1. 假设陈述** | 该狩猎所围绕的可测试的“如果……那么……”陈述 | | **2. 数据需求** | 查询依赖哪些遥测数据 | | **3. KQL 查询** | 狩猎查询，附注释说明每个过滤器的意图 | | **4. 预期结果与调优** | 合法原因、分类优化、真实阳性样貌、推荐的 pivots | | **5. 痛苦金字塔定位** | 为什么该条目处于其所声明的级别，以及攻击者必须改变什么才能规避它 | | **6. 参考文献（如有）** | MITRE、CTI、架构文档、社区来源 | ## 如何运行狩猎 1. 打开 [Microsoft Defender XDR 高级狩猎](https://security.microsoft.com/v2/advanced-hunting)。 2. 打开您要运行的条目文件。 3. 首先阅读**假设陈述**——在运行任何内容之前理解您要寻找什么。 4. 阅读**预期结果与调优**（第5节）——在查看结果之前了解该租户常见的误报来源。 5. 将**KQL 查询**（第4节）粘贴到高级狩猎编辑器中。 6. 如果需要，调整 `ago(7d)` 时间窗口。较短的窗口运行更快；较长的窗口能捕获速度较慢的活动。 7. 根据您的租户规模和基线噪音，调整第4步中的 `Devices <= 5` 流行度阈值。在大型租户中，阈值设为3或更低可能产生更清晰的结果。 8. 运行查询，并使用第5节中的指导进行分类。 9. 如果结果可疑，运行第5.4节中的**推荐 pivots**。 ## 如何添加新条目 1. 将 `TEMPLATE.md` 复制到 `entries/` 目录，文件名遵循以下模式： `T{技术}.{子技术}-H{编号}_{短名称}.md` 示例：`T1055.001-H02_reflective-dll-injection.md` 2. 填写每个 `{占位符}`。 3. 在至少一个租户上运行查询，然后将状态设置为 `已测试`。 4. 提交合并请求以供审查。 ## 方法参考 本研究应用的方法在随附的毕业论文报告（*《从 IoC 到 TTP》*）中有完整描述。关键部分包括： - **痛苦金字塔**（Bianco 2013）——每个条目必须在工具或 TTPs 级别运行。依赖哈希、文件名或 IP 地址的条目将被拒绝。 - **狩猎成熟度模型**（Bianco 2015）——本研究针对 HMM2：未编写条目的分析师可以仅使用条目中提供的内容执行该条目并分类结果。 - **假设生成**（Lee & Bianco 2016）——每个条目都从一个明确的“如果……那么……”假设开始，并按来源（情报、态势感知、领域专业知识）进行分类。 - **分析模式**——每个条目使用以下一种或多种：基线分析、流行度分析、聚合和关联。

标签：Cloudflare, DLL注入, KQL, Microsoft Defender XDR, MITRE ATT&CK, MSSP, Pyramid of Pain, SOC分析师, TTP检测, 假设驱动, 安全运营中心, 流量审计, 端点检测, 网络映射, 行为检测, 论文项目, 防御加固, 高级狩猎