之前介绍了 Richard Bejtlich 和 Robert M. Lee 就 Threat hunting 术语定义进行的博客辩论。这次讨论还衍生出了关于 TTPs 和 IOCs 的问题。今天的分享主要回顾 Richard Bejtlich 和 Robert M. Lee 就此话题的讨论。

辩论回顾

这个话题始于讨论过程中 Robert 向 Richard 提的一个问题：“你会认为匹配TTPs 的检测不算狩猎吗”？这是因为 Robert 之前在 NSA Threat Operations Centers (NTOC) 的工作经历，应用 TTPs 作为分析特征是他们发现未知威胁的其中一种方法。

在回答¹这个问题时，Richard 首先引用了 David Bianco 定义的痛苦金字塔（The Pyramid of Pain，简称PnP ）。痛苦金字塔由 IOCs 组成，同时也用于对IOCs 进行分类组织。TTPs 即 Tactics, Techniques and Procedures（战术、技术以及步骤）的简称，指对手从踩点到数据泄漏以及两者间的每一步是“如何”完成任务的。TTPs 处于痛苦金字塔的顶尖，属于一类 IOCs，而之前也介绍过 Richard认为基于 IOCs 的匹配不能算狩猎，因此，他也不认为基于 TTPs 的匹配是狩猎。

对于 TTPs 的理解，Robert 则回应 David Bianco 在痛苦金字塔中使用“指标”（indicator）这一术语，更多是和 Lockheed Martin 网络杀链模型²保持一致。但痛苦金字塔定义的 TTPs 对应到杀链中定义的行为指标，似乎存在分歧，因为现实中的 TTPs 并不会像杀链模型中的行为指标，一定需要利用原子指标或计算指标进行描述。他具体探讨了两点内容³：

• 随着术语和思想流派的不断发展，现今业界几乎将“指标”与机读情报（indicator feeds）以及原子和计算形式的指标完全关联起来。比如 MITRE’s ATT&CK 框架中特别指出，于他们而言，关注战术和技术（TTP中的TT）对于超越“传统的 IOCs”非常重要。

• 技术的演进，今天可以实现多数团队在十年前不一定能够做到的检测，比如可以有效分析对手行为（也即TTPs）的威胁分析技术。而这里的 TTPs 不同于杀链模型中定义的行为指标⁴（指计算和原子指标的集合），不需要原子或计算指标进行描述。举例来说，可以通过分析引擎完成一个常见的安全分析实例：每次匹配条件“将文件 drop 到系统、打开一个网络端口、产生访问一个外部IP地址的网络流量，一旦通信建立就会下载其他文件”，就会产生告警。这个分析可以得出杀链模型中就行为指标给出的例子，但并不需要使用行为相关的具体后门 hash、IP 地址或其他指标。如果按照 Richard 的观点，上述分析条件定义后也是在做“匹配”。但如果是利用分析之外的TTPs、将之作为一种搜索特征去发现新的威胁，那就应该算是狩猎。这里并没有匹配任何指标，而是使用情报驱动的假设来识别新的威胁。 这正是 Robert 在NTOC所做的工作，也称之为狩猎。

讨论至此，两人的主要分歧根源在于对 IOC 的定义。Richard 另做了一次考古⁵，并戏谑自己是历史学家，帮助大家了解了 IOC 这一术语的起源。

• Mandiant 在“指标”的基础上，于2010年正式定义了失陷指标（IOCs）。而“指标”这一术语则是由Kevin Mandia 不晚于他2003年的事件响应书籍定义，其后在检测环境中被广泛引入。（对应笔者之前分享过的《Incident Response & Computer Forensics（第3版）》读书笔记⁶，书中定义：失陷指标（Indicators of Compromise，IOC）的生成，是以结构化的方式记录事件的特征和证物的过程。IOC包含从主机和网络角度的所有内容，而不仅仅是恶意软件。它可能是工作目录名、输出文件名、登录事件、持久性机制、IP地址、域名甚至是恶意软件网络协议签名。）

• 2010年1月25日第一份 M-trnds 报告中，针对IOC进行了描述：IOC不仅查找特定的文件和系统信息，还使用详细描述恶意活动的逻辑语句。

• Mandiant 博客“Combat the APT by Sharing Indicators of Compromise⁷”中，作者Matt Frazier 介绍了一个基于 XML 语言的 IOC 实例化，并且可以使用免费的 Mandiant 工具读取和创建IOC。

阅读自此，我个人更倾向于 Robert 的观点，TTPs 和行为指标并不能完全对应，前者应该包含后者。也或者说，TTPs 中有一类属于 IOCs。

随感

一直以来分享的初衷，主要有感于国外诸多经典读物的产出路径如出一辙：国外同仁在实战经验的积累过程中，往往会上升到理论高度，形成相应的方法论，并通过社区的各种讨论进行完善，最终会进一步促进相关领域的发展。威胁情报领域当前在国内也还处在探索阶段，希望业界同仁在实践中探索积累前行的过程，提供客户价值和解决方案的同时，也能产出具备理论高度的研究，相信这对整个行业以及市场的成熟也都是有益的。

1. https://taosecurity.blogspot.com/2018/11/even-more-on-threat-hunting.html ↩

2. https://www.lockheedmartin.com/content/dam/lockheed-martin/rms/documents/cyber/LM-White-Paper-Intel-Driven-Defense.pdf ↩

3. http://www.robertmlee.org/threat-hunting-ttps-indicators-and-mitre-attck-bingo/ ↩

4. https://digital-forensics.sans.org/blog/2009/10/14/security-intelligence-attacking-the-kill-chain ↩

5. https://taosecurity.blogspot.com/2018/11/the-origin-of-term-indicators-of.html ↩

6. https://www.jianshu.com/p/c4d7ef14687e ↩

7. https://www.fireeye.com/blog/threat-research/2010/01/combat-apt-sharing-indicators-compromise.html ↩