本文主要是介绍威胁情报-内部hunting的实践与思考，对大家解决编程问题具有一定的参考价值，需要的程序猿们随着小编来一起学习吧！

希望做的事情能给更多的人提供帮助

事件背景

事件是真实发生的，时间约今年5月份，我们收到外界情报，具体信息如下：
近日微软的安全情报团队发现了新型恶意软件攻击，通过包含恶意的 PDF 附件进行大规模传播。这些 PDF 附件中包含了名为 StrRAT，这是一个可远程访问的木马程序，可用于窃取密码和用户凭证。除了窃取凭证甚至控制系统之外，微软研究人员还发现，这种恶意软件可以将自己伪装成伪造的勒索软件。微软表示：“一旦系统被感染，StrRAT 就会连接 C2 服务器。1.5版明显比以前的版本更加模糊和模块化，但后门功能大多保持不变：收集浏览器密码，运行远程命令和PowerShell，记录键盘输入等等”。
该报告链接如下：
https://netsecurity.51cto.com/art/202105/663902.htm（国内翻译过来的）
安全人员也第一时间跟进分析，首先这份报告不是微软的原始报告，需要找一下原始的，最好是英文，还原一下真实语境（上述国内翻译的味道变了）：
原始推特如下：
https://twitter.com/MsftSecIntel/status/1395138351917764608

情报分析+样本分析

过仔细阅读理解确认以下几点：
样本通过邮件投递，附件为pdf，受害者点击pdf后会下载感染StrRAT，（pdf！=落地样本）进而中招，主题包括：《PL-REM -40310EMEA02(0085)》、《Payment Advice Note from:05/10/2021》，附件名称包含：Remittance E-MAIL Layout-11.pdf等，其他信息的话，就是微软给的这个链接了：
We have also published advanced hunting queries to help defenders locate indicators and malicious behaviors related to STRRAT and similar threats in their environments: https://aka.ms/StrRATAHQ（还是很贴心呀，还给了查询语句）
然后我们好好读读hunting queries：
先看看这个github：https://github.com/microsoft/Microsoft-365-Defender-Hunting-Queries，我仔细阅读了下发现对于安全运营帮助很大，经毕竟是微软出的，微软自身的xdr解决方案，下面贴一些链接和图片：
https://www.microsoft.com/zh-cn/security/business/threat-protection/microsoft-365-defender
https://docs.microsoft.com/zh-cn/microsoft-365/security/defender-endpoint/security-operations-dashboard?view=o365-worldwide

下面注重介绍下这个case的一些hunting方案：
1、Defense evasion的检测：StrRAT-AV-Discovery.md（https://github.com/microsoft/Microsoft-365-Defender-Hunting-Queries/blob/master/Campaigns/StrRAT malware/StrRAT-AV-Discovery.md）
检测语句及分析：

StrRAT样本初始化的进程是java且cmd会执行这句path antivirusproduct get displayname（可能是微软安全员逆向或者运行发现的特征），因为是基于java的远控马：

2、Initial access的检测：StrRAT-Email-Delivery.md（https://github.com/microsoft/Microsoft-365-Defender-Hunting-Queries/blob/master/Campaigns/StrRAT malware/StrRAT-Email-Delivery.md）
检测语句及分析：

3、Persistence的检测：
StrRAT-Malware-Persistence.md（https://github.com/microsoft/Microsoft-365-Defender-Hunting-Queries/blob/master/Campaigns/StrRAT malware/StrRAT-Malware-Persistence.md）
检测语句及分析：

初始进程是java，调用cmd建立名称为 Skype的计划任务来实现持久化。
Tips：
通过以上信息发现只有域名，但是没有样本，虽然微软已经把此次样本运行后的一些特征写成了规则，但是实际上样本啥样的？
VT大法好，通过查询以上提及的域名终于在”adamridley.co.uk“找到了样本，以此判断可能受害者点击附件中pdf的downloader链接就是这个了，下载1个沙箱上分析下:
https://www.virustotal.com/gui/domain/adamridley.co.uk/relations

VT下载+沙箱VNC+人工分析结果，这块依赖于各家沙箱不同结果可能也不尽相同，但是基本符合微软给出的hunting语句，下面看下截图吧：

这块着重说下：这是downloader下载的jar文件，图标和pdf还真不像，一开始看到翻译说“PDF 附件中包含了名为 StrRAT，这是一个可远程访问的木马程序”，就在想中招场景，知道看到这个和推特原文才明确了场景：用户点击pdf（有可能是一个pdf的图片）下载了这个jar，然后点击jar进而中招。
通过沙箱我们发现了有些东西其实微软也没有披露，包括：该样本会通过更改Registry Run Keys 实现持久化、建立计划任务，C2域名解析等等
综上我们从威胁情报中提取了我们需要查询的IOC如下：
还有一些详细细节包括：释放并加载dll然后删除，解析C2域名并通信等就不一一说了。
梳理关键信息：
1、mail主题+附件，名称、文件类型等；
2、发件人邮箱域名等；
3、样本downloader和通信C2，相关样本的md5、样本运行完以后的行为（建立计划任务、java马进程名称等）
正常我们会列一个list然后开始hunting：

安全视角分析+内部hunting

这块就不贴具体的图了，简单描述下吧：
1、邮件侧：
查询邮件中发件人邮箱包含以上域名：* co.uk*的发件人。
邮件中包含以上主题和附件名称相关的邮件，重点排查一下。
2、流量侧：
包括download域名、通信、样本通信特征（这个目前好像没啥具体规则，没有仔细分析）
查询DNS解析日志查询解析C2域名的流量行为
3、终端上（XDR hunting最多的就是这个了，但是本身端上能力不同，查询的东西可能也不尽相同，还是按照实际能力是查询）：
查询：文件名称查询、文件md5查询、进程名包含java、计划任务名称为Skype、C2域名解析，以上可疑java调用注册表的行为等

tips：也是通过主题搜索找到一封邮件主题和本次主题一致，但是跟进后发现非攻击（联系员工、提取邮件原文、询问、pdf沙箱交互等）

反思和总结

一次简单的甲方视角下的情报响应，还是比较流畅的，这种case的贯穿很考验甲方的安全能力建设，例如：邮件、沙箱、流量建设、端上能力等等
1、 邮件钓鱼作为目前攻击方式最流行的方式之一，目前还是最火的战场之一，甲方的邮件安全建设过程更是不同，有的是使用的一些公开邮箱，有的是自己的邮箱服务器，事前有准备，事后才能有能力；
2、 流量侧作为关键性证据，虽然目前针对于加密流量还不能完美应对，但是一些基础数据还是有必要变成log作为证据的，无论是自身安全需求还是等保合规，一般甲方都会进行分自研还是商采，商采最安心同时也是不一定会符合甲方应用场景。
3、 端上，国内可能这点是最薄弱的，端上能力不完全、采集日志丢失、数据混乱等等原因问题还是比较多的，但是不得不说在一定程度上还是起了关键作用，笔者之前一直在做流量侧的分析，脑洞最大的就是流量发现问题，端上找不到具体程序的问题，后来有机会发现之前的问题一步一步都解决了。
4、 就是甲方的安全人员往往能力不齐导致实际hunting效果也不同，这个case还是IT那边传过来的我们跟进的，内部处理的case不能形成知识库，难以传承。

这篇关于威胁情报-内部hunting的实践与思考的文章就介绍到这儿，希望我们推荐的文章对大家有所帮助，也希望大家多多支持为之网！