sandraincyber/why-process-trees-matter-more-than-malware-names

# 为什么进程树比恶意软件名称更重要 ## 简介 ## 目录 * 简介 * 恶意软件名称仅用于描述，进程树用于解释 * 为什么 Tier III 分析师关注行为 * 进程树与事件响应 * 调查示例 * 进程树支持威胁狩猎 * 进程树改进检测工程 * 结论 * 关于作者 许多分析师在调查告警时，首先做的事情之一就是查看恶意软件名称。 也许 EDR 会显示： * Trojan.Generic * Suspicious.PowerShell * Malicious.Document * Backdoor.XYZ 问题在于，恶意软件名称并不总是有用的。 不同的安全供应商通常会对相同的威胁分配不同的名称。攻击者经常修改恶意软件以规避基于签名的检测，而且在许多情况下，分析师可能在恶意软件家族被识别之前，就已经在查看可疑活动了。 恶意软件名称可能会有所帮助，但它很少能说明全貌。 而进程树可以。 当我在调查告警时，相比于恶意软件叫什么名字，我更关心 endpoint 上实际发生了什么。 进程树有助于回答这个问题。 ## 恶意软件名称仅用于描述，进程树用于解释。 想象一下，你收到一个 EDR 告警，将一个文件识别为： **Trojan.Generic** 这实际上告诉你了什么？ 少之又少。 你知道可能存在一个可疑文件，但你仍然不知道： * 它是怎么来的 * 谁执行了它 * 是什么启动了它 * 之后发生了什么 * 是否影响了其他系统 现在想象一下查看进程树。 ``` Outlook.exe ↓ WINWORD.exe ↓ powershell.exe ↓ rundll32.exe ↓ Outbound HTTPS Connection ``` 调查突然变得清晰多了。 你看到的不再是专注于恶意软件标签，而是攻击者的行为。 进程树揭示了一个执行链，可能表明： * 打开了一封钓鱼邮件 * 执行了一个恶意文档 * 启动了 PowerShell * 执行了额外的 payload * 发生了网络通信 这是一个故事。 而正是故事引导着调查人员。 ## 为什么 Tier III 分析师关注行为 初级分析师和高级分析师之间最大的区别之一在于他们关注什么。 经验较少的分析师通常关注告警本身。 经验丰富的分析师则关注告警背后的行为。 攻击者可以更改文件哈希。 他们可以重命名二进制文件。 他们可以修改恶意软件代码。 但很难更改的是实现其目标所需的一系列操作。 最终，攻击者需要： * 执行代码 * 建立持久化 * 访问凭据 * 进行外部通信 * 横向移动 * 提升权限 这些活动会留下痕迹。 进程树有助于揭示这些痕迹。 ## 进程树与事件响应 在调查过程中，我首选的途径之一就是 EDR 进程树。 SentinelOne、CrowdStrike Falcon 和 Microsoft Defender for Endpoint 等平台为进程执行及其血缘关系提供了宝贵的可见性。 我通常会问的问题包括： * 是什么进程启动了这个链？ * 是哪个用户执行的？ * 父进程是什么？ * 命令行参数是否可疑？ * 是否生成了额外的子进程？ * 是否建立了网络连接？ * 是否创建了持久化？ 这些问题通常比恶意软件分类本身提供更多的调查价值。 例如，一个显示以下信息的进程树： ``` winword.exe ↓ powershell.exe ``` 立刻就比仅仅标记为“检测到恶意软件”的告警有趣得多。 进程之间的关系提供了上下文。 上下文驱动调查。 ## 调查示例 考虑一个涉及可疑 PowerShell 活动的 endpoint 告警。 乍一看，EDR 平台可能会使用通用的恶意软件标签对该活动进行分类。虽然这种分类可能有所帮助，但它无法解释活动是如何发生的，或者在执行前后发生了什么。 进程树能讲述一个更完整的故事。 ``` Outlook.exe ↓ WINWORD.exe ↓ powershell.exe ↓ rundll32.exe ↓ Outbound HTTPS Connection ``` 从 Tier III 调查的角度来看，这个进程链立刻引发了几个问题。 是否打开了钓鱼邮件？ 文档是否包含恶意宏或嵌入的 payload？ PowerShell 是否在执行编码命令？ rundll32 是否建立了命令与控制（C2）通信？ 之后是否执行了额外的 payload？ 调查人员不再仅仅关注恶意软件标签，而是可以开始重建攻击时间线。 利用 EDR 遥测数据、DNS 日志、代理日志、防火墙日志和 SIEM 数据，分析师可以确定该活动是孤立于单个 host，还是更广泛入侵的一部分。 恶意软件名称提供上下文。 进程树指明方向。 ## 进程树支持威胁狩猎 进程树在威胁狩猎期间也非常有价值。 许多威胁狩猎关注的是攻击者的技术，而不是特定的恶意软件家族。 例如： * Office 应用程序生成脚本引擎 * PowerShell 发起网络连接 * Rundll32 执行异常的 DLL * Certutil 下载外部文件 * Mshta 执行远程内容 这些行为通常直接映射到 MITRE ATT&CK 技术，即使在恶意软件签名失效时也能揭示恶意活动。 进程树提供了识别这些行为所需的可见性。 ## 进程树改进检测工程 同样的逻辑也适用于检测工程。 许多低质量的检测只关注单一事件。 例如： “当 PowerShell 执行时发出告警。” 问题是 PowerShell 每天都在正常执行。 更高质量的检测会考虑上下文。 示例包括： * PowerShell 由 Word 启动 * PowerShell 执行编码命令 * PowerShell 建立网络连接 * PowerShell 生成额外的进程 这些检测通常更具可操作性，因为它们关注的是行为而不是孤立的事件。 其结果是更少的误报和更有意义的调查。 ## 结论 恶意软件名称具有价值。 它们可以提供快速的上下文，并帮助分析师了解已知的威胁。 但恶意软件名称绝不应成为调查的全部。 只有当我们了解活动是如何发生的、攻击者试图实现什么以及接下来发生了什么时，调查才算真正开始。 进程树有助于回答这些问题。 对于事件响应人员、威胁狩猎人员和检测工程师来说，进程树通常能提供比恶意软件名称更多的洞察力。 因为归根结底，恶意软件名称只是描述了告警。 而进程树解释了攻击。 ## 关于作者 Sandra Martin 是一名网络安全专家，在 SOC 运营、事件响应、威胁狩猎、检测工程、身份与访问管理以及网络安全治理等多个领域拥有多年的丰富经验。 她拥有网络安全技术理学硕士学位，曾为政府和企业环境提供网络安全运营、调查和安全倡议方面的支持。 她的工作重点是调查安全事件、提高检测质量、加强安全监控能力，并帮助组织更好地识别和应对威胁。 更多的网络安全研究和技术文章可以在 LinkedIn 和 GitHub 上找到。

标签：子域枚举, 库, 应急响应, 端点安全, 管理员页面发现, 补丁管理