威胁猎人必备的六个威胁追踪工具

面对千头万绪的情报和数字痕迹&＃xff0c;每位威胁猎人都有一套自己熟悉的抽丝剥茧的追踪方法和工具。虽然威胁猎人之间会有一些非正式的渠道分享知识和工具&＃xff0c;但是对于新手猎人来说&＃xff0c;公共知识依然很重要&＃xff0c;以下&＃xff0c;我们整理了六种威胁猎人居家旅行必备的重要工具&＃xff0c;供大家参考&＃xff1a;

Kansa

Kansa是一个对威胁追踪和事件响应都非常有用的工具&＃xff0c;是一个“Powershell中的模块化事件响应框架”。该工具有一个非常棒的主要功能&＃xff1a;使用PowerShell Remoting“在企业主机中运行用户贡献模块来收集数据&＃xff0c;以便在事件响应、攻击溯源或建立环境基线期间使用。”

这使采集大量数据变得更加容易&＃xff0c;更重要的是&＃xff0c;它还可以更快地建立基线。对于猎人来说&＃xff0c;他们面临的最大挑战之一可能是在他们的环境中建立“正常情况”的基线。Kansa可以极大地帮助加快这项任务。

微软Sysinternals套件

微软的工具入围可能让你感到吃惊&＃xff0c;但是微软的Sysinternals套件确实不容错过。这套工具有三个对于威胁猎人来说非常重要的功能&＃xff1a;

• 进程资源管理器——将进程资源管理器视为任务管理器的高级版本&＃xff0c;它允许猎人不仅可以查看进程&＃xff0c;还可以查看进程已加载的DLL&＃xff0c;以及已打开的注册表项。这项功能在寻找可疑和恶意行为时非常有用。

• 进程监视器——进程监视器类似资源管理器&＃xff0c;但它更关注文件系统&＃xff0c;并且可以帮助猎人发现可能发生的“有趣”的变化。

• Autoruns——这个程序可检测启动时运行的可疑应用程序&＃xff0c;这对于寻找系统上的驻留痕迹时非常方便。

Kroll Artifact Parser and Extractor (KAPE)

KAPE&＃xff08;或Kroll Artifact Parser and Extractor&＃xff09;是被事件响应专业人士和数字取证人员广泛使用的工具。KAPE允许分析师设置特定的“目标”&＃xff08;基本上是文件系统中的特定位置&＃xff09;并自动解析结果并收集所有证据。但它不仅仅是一个美化的复制粘贴工具。它还解析关联和相关数据&＃xff08;如EvidenceOfExecution、BrowserHistory等&＃xff09;以加快分类和分析。

该工具对于威胁猎人来说非常有价值&＃xff0c;尤其是当他们在狩猎期间试图从主机收集相关信息时。

GHIDRA

如果您已经是恶意软件逆向工程领域的老手&＃xff0c;就不会对IDA Pro和GHIDRA等工具感到陌生&＃xff0c;后者是由美国国家安全局的一个秘密研究局设计。GHIDRA为安全研究人员提供了调试器、十六进制编辑器和反汇编器等工具&＃xff0c;而且完全免费。

在威胁搜寻方面&＃xff0c;逆向恶意软件了解其内部运作可能非常关键&＃xff01;

Regshot

Regshot就像一个屏幕截图工具和“diff”Linux命令行工具&＃xff0c;但用于您的注册表。它可帮助威胁猎人快速轻松地获取注册表的完整“屏幕截图”&＃xff0c;然后再拍摄第二张“屏幕截图”并找出其中的差异。

当威胁猎人试图查看基线中发生了何种变化&＃xff0c;甚至在系统重新启动之间可能发生了什么变化时&＃xff0c;该功能会非常有用。

UACME

最后推荐的这个渗透工具请在专业人士指导下合法使用。UACME&＃xff08;或UAC-ME&＃xff09;可以让任何人使用多种方法轻松绕过Windows用户帐户控制。对于事件调查和数字取证工作人员来说&＃xff0c;该工具可以大大简化工作进程。

对于网络安全新手来说&＃xff0c;威胁狩猎往往令人生畏&＃xff0c;一部分原因是技术门槛和学习曲线陡峭&＃xff0c;另一部分原因则是信息分享闭塞&＃xff0c;如果不加入社区&＃xff0c;就很难学习和分享技巧。希望本文的推荐清单能够抛砖引玉&＃xff0c;帮您找到心仪的工具。

在安全分析、威胁搜寻或数字取证调查中&＃xff0c;您最喜欢使用哪些工具&＃xff1f;不妨在留言区给出您的推荐。

- End -