奇安信威胁情报中心：基于ATT&CK的APT威胁狩猎实践

"该文档是奇安信威胁情报中心‘红雨滴’团队关于基于ATT&CK框架的APT威胁跟踪和狩猎的研究报告。报告详细介绍了如何运用ATT&CK模型来理解和对抗高级持续性威胁（APT）的策略和技术。团队专注于威胁情报、高级威胁分析以及机读威胁情报的生产。报告涵盖了ATT&CK模型的各个阶段，包括侦察、武器化、分发、利用、安装、命令与控制、行动等，以及如何通过数据处理和分析来进行威胁狩猎。" 在威胁情报领域，ATT&CK（Attack Tactics, Techniques, and Common Knowledge）模型是一个广泛使用的框架，由网络安全机构MITRE开发，用于描述和分类攻击者的行为。它将攻击过程分为不同的战术阶段，每个阶段下又包含具体的技术，帮助安全专业人员理解并防御各种攻击策略。 报告中提到，ATT&CK模型已经从STIX1.2的TTP（Tactics, Techniques, and Procedures）映射到STIX2.0，提供了更精细的攻击技术描述。在实际应用中，通过分析攻击团伙的历史战术和技术，可以识别其常用的攻击手段，从而设置有效的检测点和检测特征。这些特征可能来源于日志数据、公开报告、技术研究，甚至是红队的模拟攻击。 在数据与处理环节，报告强调了如Windows日志、SYSMON、AUTORUNS等监控工具的重要性，以及自定义监测程序在检测网络和系统行为中的作用。这些工具可以帮助识别出如文件操作、网络流量、进程、注册表变化等关键行为指标（Observables/IOCs）。 报告还提到了ATT&CK框架下的企业技术，覆盖了Windows、Linux、MacOS等多个平台，列举了244种攻击技术，以及86个已知的攻击组织和377种常被利用的恶意软件或工具。这些数据为威胁狩猎提供了丰富的参考。 此外，报告引用了RedCanary的“Threat Detection Report”2019，进一步展示了如何将ATT&CK模型应用于实战中的威胁检测。 这份报告为安全专业人员提供了一套基于ATT&CK的APT威胁追踪和狩猎方法论，有助于提升组织的威胁防御能力，及时发现并应对高级威胁。通过对ATT&CK框架的深入理解和应用，可以更有效地预测、检测和响应APT攻击，从而保护企业的信息安全。