Endpoint Threat Hunting: Proactive Detection on Windows, Linux, and macOS
Uncovering Advanced Compromises Through Telemetry, Artifacts, MITRE ATT&CK Tactics, and Practical Playbooks
Andrey Pautov Follow 18 min read·Dec 14, 2025 17 Listen Share
Press enter or click to view image in full size
执行摘要
端点威胁狩猎旨在主动检测 Windows、Linux 和 macOS 主机上警报触发前的高级入侵。狩猎者寻找关键的入侵指标(IoCs)——如已知的恶意文件哈希、域名、IP地址、异常进程名或注册表项——以及那些规避基于签名防御的异常行为。
常见的攻击者战术包括:
- 初始访问(恶意文档、路过式下载、基于USB的恶意软件)
- 执行(滥用脚本引擎或无文件攻击二进制文件)
- 持久化(例如“Run”注册表键、cron作业、LaunchDaemons)
- 权限提升
- 横向移动(PsExec, SSH)
- 数据外泄(加密隧道、异常的ZIP文件、罕见扩展名)
为了发现这些痕迹,分析师依赖于丰富的遥测数据和取证痕迹:Sysmon和Windows事件日志、Linux/macOS上的审计/日志、内存捕获、文件元数据(MACE时间戳)、注册表配置单元……FINISHED CSD0tFqvECLokhw9aBeRqidNSrcejPuBaMdlMczL8z141/SBT0an1yhR1Ok3mEkGW28eU3QJcQYTb9n9cayVl4SgS/NtCtDna27YyxjAVRdoXAhO07YTnr+rWzHSDnOeR341ZuuaNEe8dLWaeXR5UA==
