Inside 3 top threat hunting tools

高级持续威胁(APT)能够溜过即使是最尖端的安全防御，多亏了一个恶魔般聪明的策略。黑客可能会试图突破你的防御数千次，直到他们最终进入。一旦网络被破坏，大多数apt就会进入隐形模式。他们行动缓慢，横向损害其他系统，慢慢地向目标迈进。但如果你能在这些活跃的，但隐藏的威胁造成真正的伤害之前找到它们呢?在这篇综述中，我们测试了来自Sqrrl、Endgame和Infocyte的威胁狩猎系统。阅读完整的评论。

Sqrrl从SIEM和其他来源(如外部威胁数据提要)收集数据。它通常作为软件安装，但可以在虚拟化或云环境中运行。Sqrrl不会在端点上安装代理程序，但是可以合并来自现有端点保护程序的数据。对于大多数部署，安装只需要几个小时。每天一开始，安全分析师就会看到一个显示可疑行为及其相对严重性的控制面板。

需要注意的是，Sqrrl仪表板上冒泡的行为并不是触发SIEM警报的行为。Sqrrl识别出一些奇怪的小事情，这些小事情可能是(也可能不是)妥协的指示器，而妥协已经从裂缝中溜走了。然后，安全分析师可以利用他们的专业知识进行调查。我们根据Sqrrl捕获的单个奇怪事件启动了一个调查(或搜索)，在该事件中，管理员登录了一个标记为C586的系统。奇怪的是，管理员以前从未接触过这个系统，但自从他们第一次尝试使用有效的凭据登录后，没有触发警报。Sqrrl标记了该行为，因此我们开始了调查。

Sqrrl的优点是所有内容都是可视化的。我们从下拉菜单发送了一个查询，并发现了一条链，可以通过四个与C586横向移动关联的其他系统返回。我们观察了信标行为，发现链中的下一个系统最近已经信标出来了。因为信标行为是apt返回宿主的一种方式，这是可疑的。我们搜索了那个IP地址，发现同一链上的另外两个系统也发出了信号。现在情况越来越清楚了。通过使用Sqrrl，我们能够识别并阻止威胁，即使C586本身是完全干净的，没有触发警报。完成一次成功的搜索后，我们可以生成一个报告，以保护网络。

Sqrrl威胁搜索平台是一个很好的工具，可以帮助那些在他们的网络中寻找隐藏的威胁。它适用于任何技术水平的用户，但更有经验的分析师将能够创建更好的攻击理论，因此可能有更成功的搜索。对Sqrrl的定价是根据需要使用系统的猎人数量和需要分析的内部流量数据量来确定的。一个中等规模网络上只有一个猎人的系统，起价为2.5万美元。

考虑到平均一次成功的入侵要花费50万美元或更多的直接和间接成本，赞助一个猎人并为他们配备Sqrrl似乎是一个很好的先发制人的投资。

Infocyte HUNT增加了大量的自动化功能，可以在大约一天的时间内完成整个网络的追捕。这就像在直升机上用机关枪打猎。主控制台向所有端点发送代理。然而，这些药物在每个终点只存在大约90秒，然后就溶解了。HUNT可以在Linux和Windows终端以及大多数支付处理终端上本地工作。Mac版本正在开发中。HUNT每天能够扫描大约25000个端点。

主控制台控制代理部署和响应过程以及报告仪表板，但繁重的工作是在Infocyte云中完成的。这包括哈希和DNS查找，与外部威胁提要的结果进行比较，甚至是沙盒。另外，未知的可执行文件可以提交给Infocyte进行分析。默认扫描查看HUNT检测能力范围内的所有内容，包括进程、模块、驱动程序、内存扫描、帐户信息、网络连接和钩子。

我们发现一个实例，Firefox.exe在一个客户端机器上被列为“可能是坏的”。我们深入研究了报告的这一部分，使用良好的图形界面很容易做到这一点。深入到第一级，通过21个反病毒程序，我们发现一切正常。进一步深入，Firefox文件的散列是正确的。

我们开始认为亨特给了我们假阳性结果，直到我们深入调查。事实证明，安装在那个版本Firefox中的一个模块是一个比特币矿工。HUNT不仅在沙箱过程中捕捉到了这一点，还允许我们查看作为核心程序一部分的每个模块。这使我们能够识别出几乎可以逃脱所有其他端点保护类型的威胁。

一旦扫描完成，就可以生成具有多个级别的报告。对于安全分析师来说，所有威胁的详细描述都是可用的。而对于企业高管来说，HUNT则提供了对网络中所有错误或妥协之处的顶级概述。另一方面，HUNT报告也可以证明一个网络是完全干净和未受损害的，很少有其他程序愿意这样做。一份干净的报告显示了HUNT所做和检查的一切，并解释了为什么它如此确信没有APT或其他违规行为存在。这应该有助于高管们晚上睡得更好一些。HUNT的价格从6000美元起，包含100个终端许可，并提供批量折扣。

核心的Endgame控制台可以部署为虚拟机，也可以像设备一样放置在物理系统上。它也可以存在于云或混合环境中。程序启动并运行后，需要在所有端点上部署代理。代理功能强大，能够在需要时使用Endgame停止进程、删除文件和限制对机器的访问。从某种意义上说，特工武装了那些在网络中潜行寻找威胁的猎人。猎人不仅可以通过终局游戏发现威胁，还可以分析甚至摧毁威胁。使用所包含的向导部署代理是一个简单的过程。代理可以在任何Windows系统和任何Linux桌面或服务器上工作。目前还没有Mac版本，不过预计明年某个时候会推出。

除了为威胁猎人提供工具，Endgame还作为一个更传统的端点保护程序，填补了与反病毒相同的角色，自动停止低级别威胁。在我们的测试中，Endgame与已经安装在终端上的杀毒程序合作，尽管它们有时确实会竞争第一个阻止威胁。

如果杀毒软件拦截了威胁，它就没能进入终局。同样地，如果Endgame先抓住它，反病毒也不会触发。对于狩猎来说，这些都不重要，因为捕获的威胁从来不会进入猎人的领域。但它确实表明，Endgame既可以作为终端的主要反病毒保护角色，也可以与任何已经在使用的程序一起工作。

威胁搜索主界面提供了网络中所有受保护的端点的清晰列表，包括它们的IP地址、正在运行的操作系统、资产处于活动状态的时间，以及机器正在生成的警报。与大多数威胁搜索工具一样，Endgame控制台中的警报绕过了传统的保护，可能是SIEM所不知道的。

Endgame只是将这些奇怪的小事件编译成大多数分析师都熟悉的警报类型格式。猎人可以在收集的警报中移动，也可以在狩猎选择菜单中开始他们自己的调查。

使用Endgame深入到警报中是一个非常简单的过程，它提供了关于寻找什么以及采取什么行动的有用建议。例如，我们发现了一个可能被COM劫持的系统。除了所有的文件和路径信息，Endgame还解释了我们正在检查的潜在攻击类型。我们确认了一个COM劫持正在发挥，它没有被其他网络保护检测到。我们能够获取文件本身以进行进一步的分析或沙箱化，并在有问题的端点上终止进程。能够终止进程并删除文件是一个令人难以置信的工具。在定价方面，Endgame的起售价为22.5万美元，为5000个终端提供年度订阅和高级支持。