压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

網(wǎng)絡(luò)安全行業(yè)的人工智能浪潮已經(jīng)到來(lái)，但人工智能并不會(huì)取代網(wǎng)絡(luò)安全人才，而是讓他們變得更強(qiáng)大。以下，我們將以ChatGPT為例，介紹用大語(yǔ)言模型人工智能技術(shù)提升威脅獵人獵殺技能的十種方法。

01?對(duì)惡意PowerShell去混淆

攻擊者常用PowerShell在系統(tǒng)中下載惡意軟件并獲得初始訪問(wèn)權(quán)限。

PowerShell易于編寫(xiě)，在大多數(shù)企業(yè)的IT環(huán)境中可用，并且具備可與Windows API交互的強(qiáng)大功能。對(duì)攻擊者不利的是，PowerShell很容易被防御者讀取并阻止。因此，攻擊者會(huì)使用各種技巧來(lái)混淆PowerShell惡意代碼。

威脅獵人經(jīng)常會(huì)遇到經(jīng)過(guò)混淆的PowerShell腳本，需要對(duì)這些腳本進(jìn)行去混淆，以了解它們?cè)谧鍪裁矗约笆欠癜蓹z索的IOC。過(guò)去，這是一個(gè)艱苦的工作，但現(xiàn)在ChatGPT可以代勞！

只需將混淆過(guò)的PowerShell復(fù)制到ChatGPT的對(duì)話框中，讓它來(lái)研究代碼的作用：

02?發(fā)現(xiàn)攻擊者的TTP

在搜尋威脅時(shí)，獵人們需要緊盯攻擊者留下的IOC，例如IP地址、域名和文件哈希。但是，為了提高狩獵的成功率，獵人還需要了解攻擊者的戰(zhàn)術(shù)/技術(shù)/程序（TTP），因?yàn)楣粽吆茈y改變自己的TTP（參考痛苦金字塔模型）。

威脅狩獵依賴威脅情報(bào)提供攻擊者的TTP信息，但收集此類情報(bào)可能很困難，需要查詢各種來(lái)源，這時(shí)我們可以求助于人工智能。以勒索軟件拉撒路（Lazarus）為例，我們可以問(wèn)ChatGPT該組織的TTP：

03?生成威脅搜尋查詢

為了搜尋攻擊者的IOC和TTP，我們需要為企業(yè)的安全解決方案（例如SIEM或EDR）創(chuàng)建威脅搜尋查詢。這些查詢定義了我們想要搜尋的內(nèi)容，以及我們希望找到何種數(shù)據(jù)以及如何呈現(xiàn)給我們。

遺憾的是，不同安全解決方案使用不同的語(yǔ)法來(lái)定義其平臺(tái)上的搜索查詢。例如CrowdStrikes使用FQL（Falcon查詢語(yǔ)言），微軟使用KQL（Kusto查詢語(yǔ)言），QRadar使用AQL（Ariel查詢語(yǔ)言）。如果你的企業(yè)使用多個(gè)安全產(chǎn)品，掌握這些語(yǔ)法讓人頗為頭疼。

我們可以要求ChatGPT用我們選擇的語(yǔ)言為我們編寫(xiě)威脅搜尋查詢，大大加快搜尋流程。

例如，我們可以讓ChatGPT創(chuàng)建一個(gè)查詢來(lái)搜索KQL中的惡意IP地址：

我們同樣可以用ChatGPT在Splunk中生成威脅搜索查詢：

事實(shí)上，我們可以要求ChatGPT根據(jù)我們使用的各種主流威脅狩獵平臺(tái)編寫(xiě)對(duì)應(yīng)的查詢。

04?分析惡意命令行

作為威脅獵人，我們經(jīng)常需要分析命令行是否惡意。這些命令行包含各種選項(xiàng)、參數(shù)、文件名、可執(zhí)行文件等。這項(xiàng)任務(wù)有時(shí)很困難，因?yàn)槲覀兛赡懿恢烂總€(gè)命令行的作用。

為了解決這個(gè)問(wèn)題，威脅獵人嚴(yán)重依賴Google查找有關(guān)命令的文檔。這種方法有時(shí)有效（但可能會(huì)非常耗時(shí)），有時(shí)則一無(wú)所獲，只能靠猜測(cè)。幸運(yùn)的是，ChatGPT可以充當(dāng)命令行的調(diào)查助手。例如，你知道下面這個(gè)命令行是做什么的嗎？

schtasks.exe/create/sc minute/mo 1 /tn “Reverse shell” /tr c:\\some\\directory\\revshell.exe

對(duì)于一位經(jīng)驗(yàn)豐富的威脅獵人，會(huì)立刻發(fā)現(xiàn)此命令添加了一個(gè)名為“反向外殼”的計(jì)劃任務(wù)，表明對(duì)手正在試圖安裝持久性機(jī)制。但是，如果你是新手無(wú)法判斷，也可以求助ChatGPT：

05?發(fā)現(xiàn)哪些攻擊者盯上了你

所有威脅狩獵都基于為企業(yè)量身定制的威脅情報(bào)進(jìn)行設(shè)計(jì)。

威脅搜尋應(yīng)側(cè)重于企業(yè)可能遇到的IOC或TTP。如果你的公司在美國(guó)運(yùn)營(yíng)，那么專注于專門(mén)針對(duì)俄羅斯企業(yè)的攻擊者是沒(méi)有意義的。因此，最佳做法是找出哪些攻擊者會(huì)針對(duì)你，然后找到與其活動(dòng)相關(guān)的IOC和與其攻擊方法相關(guān)的TTP。

為了查找此威脅情報(bào)，企業(yè)需要根據(jù)其需求定制免費(fèi)和付費(fèi)威脅情報(bào)源。此外，你也可以求助ChatGPT，如下圖所示：

假設(shè)您的企業(yè)不是一家全球化公司。可以嘗試在提示詞中增加國(guó)家和行業(yè)關(guān)鍵詞以獲得更準(zhǔn)確的答案：

06?掌握惡意軟件趨勢(shì)

作為威脅獵人，搜尋惡意軟件是你的日常工作之一，無(wú)論是簡(jiǎn)單的信息竊取程序（例如Red Line）還是復(fù)雜的勒索軟件（例如QakBot）。你需要在企業(yè)IT環(huán)境中開(kāi)展威脅狩獵工作，搜尋此類惡意軟件的指標(biāo)。

惡意軟件家族和變種在網(wǎng)絡(luò)中的流行度往往會(huì)隨時(shí)間推移產(chǎn)生較大波動(dòng)，威脅獵人必須隨時(shí)了解惡意軟件的“潮流”。過(guò)去，安全認(rèn)識(shí)主要依賴來(lái)自安全供應(yīng)商的威脅情報(bào)源或季度威脅報(bào)告，如今ChatGPT也可以幫我們快速了解惡意軟件趨勢(shì)：

本文使用的是ChatGPT 3.0，訓(xùn)練數(shù)據(jù)集的截止時(shí)間為2021年4月，因此并沒(méi)有最新惡意軟件的實(shí)時(shí)信息。但是ChatGPT 4.0（付費(fèi)版本）能提供此類信息（編者：可通過(guò)插件或擴(kuò)展應(yīng)用關(guān)聯(lián)實(shí)時(shí)威脅情報(bào)）。

07?開(kāi)發(fā)威脅搜尋假設(shè)

威脅狩獵始于一個(gè)假設(shè)——你想要尋找什么以及如何做到這一點(diǎn)。

例如，你可能需要查找攻擊者在IT環(huán)境中使用的駐留機(jī)制。你需要將這個(gè)想法轉(zhuǎn)變?yōu)榭梢酝ㄟ^(guò)實(shí)驗(yàn)測(cè)試的陳述，將想法變成假設(shè)。最重要的是，你必須能夠反駁這個(gè)假設(shè)，否則，你將永遠(yuǎn)得不到最初問(wèn)題的答案。

例如：“我將在IT環(huán)境中查找攻擊者使用注冊(cè)表運(yùn)行密鑰的駐留機(jī)制。我可以通過(guò)在每臺(tái)計(jì)算機(jī)上查找已知的惡意注冊(cè)表項(xiàng)來(lái)做到這一點(diǎn)。”

現(xiàn)在，你知道要查找的內(nèi)容（惡意注冊(cè)表運(yùn)行密鑰）以及查找位置（計(jì)算機(jī)的注冊(cè)表日志）。你可以通過(guò)編寫(xiě)包含良好文檔的流程來(lái)將此假設(shè)轉(zhuǎn)換為實(shí)驗(yàn)。

生成一個(gè)好的假設(shè)可能很困難：

• 你需要具體，但又不能太具體，以至于錯(cuò)過(guò)了想要尋找的東西。
• 你需要確保你可以反駁你的假設(shè)。
• 你需要將假設(shè)限制在一個(gè)可管理的時(shí)間范圍內(nèi)。

值得慶幸的是，您可以在創(chuàng)建威脅搜尋假設(shè)時(shí)向ChatGPT尋求幫助，它甚至能生成測(cè)試步驟：

08?記錄威脅狩獵

威脅狩獵是否成功往往取決于文檔，沒(méi)有文檔記錄的狩獵難以重現(xiàn)。

文檔工作很容易被新手威脅獵人忽視，他們經(jīng)常過(guò)于關(guān)注行動(dòng)而不是方法。值得慶幸的是，ChatGPT可以幫助解決這個(gè)問(wèn)題。下面是ChatGPT提供的一個(gè)示例模板，可在威脅搜尋的每個(gè)階段填寫(xiě)此模板，從而幫助我們養(yǎng)成編寫(xiě)文檔的好習(xí)慣：

09?學(xué)習(xí)威脅狩獵

威脅狩獵涉及多種技能，需要大量時(shí)間系統(tǒng)學(xué)習(xí)和實(shí)踐才能掌握。許多威脅獵人利用在線資源在工作中學(xué)習(xí)，但是由于在線資源的非結(jié)構(gòu)化屬性，這種學(xué)習(xí)方法可能效率低下且難以跟蹤。

你可以要求ChatGPT幫你編制一個(gè)威脅狩獵的自學(xué)課程大綱，具體如下：

有了課程大綱，你只需要收集學(xué)習(xí)資源并根據(jù)此大綱進(jìn)行組織。您甚至可以要求ChatGPT推薦學(xué)習(xí)資源：

10?威脅狩獵自動(dòng)化

自動(dòng)化是網(wǎng)絡(luò)安全的王道。作為威脅獵人，我們的目標(biāo)是自動(dòng)執(zhí)行威脅狩獵。我們希望提升威脅狩獵的自動(dòng)化水平，即威脅狩獵任務(wù)可（自動(dòng)）重復(fù)執(zhí)行。ChatGPT可以幫助我們初步了解如何自動(dòng)化特定威脅狩獵任務(wù)：

如上所示，ChatGPT為我們提供了有關(guān)Cobalt Strike（一種流行的命令和控制C2框架）自動(dòng)化威脅搜尋的想法。我們還可以要求ChatGPT提供其中某個(gè)想法的更具體信息。

總結(jié)

本文探討了使用人工智能工具幫助威脅獵人提升技能和效率的十種方法：

• 對(duì)惡意PowerShell進(jìn)行去混淆處理
• 發(fā)現(xiàn)攻擊者的TTP
• 生成威脅搜尋查詢
• 解碼惡意命令行
• 發(fā)現(xiàn)哪些攻擊者可能以您的企業(yè)為目標(biāo)
• 調(diào)查惡意軟件趨勢(shì)
• 開(kāi)發(fā)威脅狩獵假設(shè)
• 創(chuàng)建威脅狩獵文檔
• 學(xué)習(xí)威脅狩獵
• 威脅狩獵的自動(dòng)化

隨著人工智能網(wǎng)絡(luò)安全應(yīng)用的普及，網(wǎng)絡(luò)安全從業(yè)者應(yīng)該主動(dòng)了解并嘗試用強(qiáng)大的人工智能工具來(lái)增強(qiáng)工作流程并提高效率，使自己成為人工智能的受益者而不是受害者。

來(lái)源：GoUpSec