也许每个人出生的时候都以为这世界都是为他一个人而存在的，当他发现自己错的时候，他便开始长大

少走了弯路，也就错过了风景，无论如何，感谢经历

汽车威胁狩猎专栏长期更新，本篇最新内容请前往：

• [车联网安全自学篇] 汽车威胁狩猎之关于威胁狩猎该如何入门？你必须知道的那些事「7万字详解」

0x01 前言

如果你曾经参与过 “观察他人” 这项古老的运动，你就会知道几乎每个人都有独特的行为。行为是人类或动物在生活中表现出来的生活态度及具体的生活方式，它是在一定的条件下，不同的个人、动物或群体，表现出来的基本特征，或对内外环境因素刺激所做出的能动反应（例如：安保人员（如警察、私人侦探），在寻找罪犯可能表现出的可疑行为）。所有这一切都表明，行为对很多人都很重要。这就是为什么在看待网络安全领域时，会让人感到非常沮丧

在网络安全领域，我们经常选择有意或无意地完全忽视行为。相反，威胁猎手应该专注于具体的细节（如入侵的指标），通常让行为更多的是作为一个已经确立的调查的确认证据，而不是作为一个调查本身的起点。博主认为这对各地不同的安全团队来说是一个错失的机会

0x02 现实世界中的安全行为

让我们把重点放在安全人员的例子上，以及他们在日常工作中使用的行为。如果这些安全人员的运作方式与许多网络安全项目的运作方式类似，他们就会有一份已知犯罪者的名单。这将包括无数其他公司使用的代号名单，他们也会有一份关于犯罪者的不同细节的名单，包括服装穿着、指纹、头发和眼睛的颜色、喜欢的汽车品牌、型号和牌照、电话号码、甚至他们父母的姓名。然后，他们将不得不审问他们遇到的每一个人，看他们是否符合这些细节。他们还会忽略任何未能匹配这些细节的人，即使他们正处于重罪之中

如果你不在名单上，那你就可以走了

如你所见，这种模式有两个主要缺陷。首先，它假设罪犯会诚实地回答，继续穿着他们犯罪时的衣服，并在其他方面保持不变，以便方便识别。第二是安保人员只寻找已经完全犯罪的人：也就是说，如果安保人员看到有人在商店里把衣服塞进袋子里，但他们没有看到这个人离开，那么他们会忽略他们。然而，尽管存在这些明显的缺点，但许多网络安全团队都是这样运作的

现在，博主我经常听到的反驳观点是，网络安全团队经常被数据压得喘不过气来，在门口充当安保人员，询问问题，只是为了提高效率。对此我说：这很公平。毕竟，谁没有见过安保人员在黑色星期五前后在商店门口闲逛呢？

然而，仅仅因为门口有安保人员，并不意味着你没有：

• 监视闭路电视摄像机的工作人员
• 卧底人员在店内四处游荡
• 让店员充当非正式线人
• … …

而上面类似这样的例子，不胜枚举，就不一一举例说明了。这些门口的安保人员是有作用的，但这是在更广泛的威胁检测战略之上的一个目的，旨在保护公司免受伤害

0x03 将行为纳入网络安全策略

将行为纳入威胁检测策略的第一步是认识到，虽然安全人员经常关注人类行为，但网络安全专业人员可能不应该，至少不应该完全关注。毕竟，有很多人类行为在通过系统日志解释时（特别是大规模），可能很难区分可疑行为和无害行为。例如：第 4个记录的事件 ID4625 是有人试图强行破解用户的密码，还是会计部的张三只是在周一有一个糟糕的情况？

市场部的李四是想从那个文件共享网站上下载一套字体，还是攻击者想利用它进行工具入侵？

如果不能拿起电话与张三或李四交谈，围绕他们的行为建立计划可能是困难的或不可能的。即使你能与用户交谈，这样的策略也无法超越一个小型的创业公司。然而，网络安全专家可以关注的是程序行为，系统上的应用程序和代码所表现出来的个别行为。这些行为可以在大规模上被识别和审问

0x04 安全行为的简单示例

我喜欢使用的这种安全类型的最常见的例子之一是恶意文档（‘maldoc’）网络钓鱼。在这种情况下，用户会收到一封网络钓鱼邮件，其中包含一个嵌入恶意代码或宏的文档。当用户打开邮件时，他们便会触发代码，这通常会利用命令提示符或 PowerShell 等东西来执行其它的操作

现在，传统的方法是收集 MD5 值、已知的不良 IP 地址和域名，甚至可能是恶意工具的文件名或文件路径的列表，并尝试将恶意文档（‘maldoc’）的某些元素与这些具体细节之一相匹配。更高级的方法，可能会尝试实现模糊逻辑，例如评估文件路径和名称的辅音与元音，以及它们出现的顺序。而且，可以高度肯定地对你说，例如：如果你看到一个MD5值的匹配，则你就有了一个真正的肯定。然而，随着攻击者发展甚至是基本的操作安全（OPSEC）实践，他们正在实施削弱这些检测策略的做法。例如，重新编译他们的工具以绕过MD5检测，使用反弹主机来限制对IP地址或主机名的检测，以及使用基于字典的随机化文件名和路径

然而，从行为的角度来看，我们反而可以从不同的角度来处理这个问题。在这里，我们可以识别在攻击中表现出来的 “行为”，即 Outlook.exe，生成Word或Excel，这反过来又生成可疑的子进程，如 cmd.exe、ps1.exe、rundll.exe或许多其他进程。通过寻找这种类型的行为，我们不再需要保留成百上千、数十万、甚至数百万的指标，这些指标可能永远不会被观察到，但仍然必须定期收集、分析、记录和检查。相反，我们将其削减为适用于我们企业的更有针对性和更易于管理的的指标列表，并将其与一系列的指示性行为分层，使我们能够识别可疑和恶意的活动，即使其他人还没有观察到它

参考链接：

https://blog.csdn.net/Ananas_Orangey/article/details/129491146

你以为你有很多路可以选择，其实你只有一条路可以走