{"id":646,"date":"2022-03-23T22:14:02","date_gmt":"2022-03-23T21:14:02","guid":{"rendered":"https:\/\/counterintelligence.pl\/?p=646"},"modified":"2022-03-23T22:14:02","modified_gmt":"2022-03-23T21:14:02","slug":"hunting-zaprzegajac-cti-do-pracy","status":"publish","type":"post","link":"https:\/\/counterintelligence.pl\/en\/2022\/03\/hunting-zaprzegajac-cti-do-pracy\/","title":{"rendered":"Hunting - putting CTI to work"},"content":{"rendered":"\n

Na counterintelligence.pl po\u015bwi\u0119ci\u0142em ju\u017c sporo miejsca OSINTowi<\/a> i threat intelligence<\/a>. Nie mo\u017cemy jednak zapomina\u0107, \u017ce wywiad w r\u00f3\u017cnych swoich formach pe\u0142ni przede wszystkim funkcj\u0119 pomocnicz\u0105. Wspiera podejmowania decyzji, reakcje na incydenty czy wykrywanie z\u0142o\u015bliwej aktywno\u015bci. I w\u0142a\u015bnie threat hunting to aktywno\u015b\u0107, kt\u00f3ra w ten czy inny spos\u00f3b musi u swoich podstaw mie\u0107 informacje wywiadowcze. Zacznijmy wi\u0119c od podstaw – czym jest threat hunting?<\/p>\n\n\n\n

W najwi\u0119kszym skr\u00f3cie i uproszczeniu jest to aktywno\u015b\u0107 analityk\u00f3w polegaj\u0105ca na r\u0119cznym wyszukiwaniu z\u0142o\u015bliwej aktywno\u015bci w \u015brodowisku. Dlaczego konieczne s\u0105 takie r\u0119czne dzia\u0142ania? Mamy przecie\u017c tyle system\u00f3w alertowania i monitoringu, SIEM, AV, EDR, XDR i tak dalej? S\u0105 dwa g\u0142\u00f3wne powody. Po pierwsze mimo, \u017ce wspomniane systemy s\u0105 ca\u0142y czas rozwijane to nigdy nie b\u0119d\u0105 doskona\u0142e i tworzenie sygnatur, wzor\u00f3w zachowa\u0144 do wykrycia i tak dalej b\u0119dzie zawsze obarczone pewnym marginesem braku widoczno\u015bci wynikaj\u0105cym cho\u0107by z ci\u0105g\u0142ego rozwoju technik stosowanych przez atakuj\u0105cych. Po drugie, niekt\u00f3re zachowania s\u0105 bardzo trudne do zidentyfikowania jako z\u0142o\u015bliwe cho\u0107by ze wzgl\u0119du na korzystanie z technik living off the land czyli wykorzystania narz\u0119dzi systemowych do prowadzenia aktywno\u015bci. Przytoczmy przyk\u0142ad z raportu CrowdStrike Overwatch za rok 2020<\/a>:<\/p>\n\n\n\n

\"\"<\/figure><\/div>\n\n\n\n

Je\u017celi chcieliby\u015bmy wykorzysta\u0107 wymienione wy\u017cej komendy jako podstawy do stworzenia automatycznych alert\u00f3w, to zostaniemy szybko zasypani fa\u0142szywymi alertami b\u0119d\u0105cymi skutkiem tego, \u017ce b\u0119d\u0105 z nich korzysta\u0107 administratorzy i zwykli u\u017cytkownicy. Stwierdzenie, \u017ce jest to z\u0142o\u015bliwa aktywno\u015b\u0107 wymaga ju\u017c spojrzenia na kontekst wykorzystania polece\u0144, tego kto je wykonywa\u0142 i tak dalej. Zadaniem threat hunter\u00f3w jest wi\u0119c wy\u0142uskiwanie z og\u00f3\u0142u zachowa\u0144 u\u017cytkownik\u00f3w element\u00f3w, kt\u00f3re mog\u0105 \u015bwiadczy\u0107 o dzia\u0142aniach napastnik\u00f3w i ci\u0105gni\u0119ciu za sznurek tych w\u0105tk\u00f3w aby zrozumie\u0107 co dzieje si\u0119 w \u015brodowisku.<\/p>\n\n\n\n

Gdzie wi\u0119c w tym wszystkim rola threat intelligence? Potencjalnych zachowa\u0144 na kt\u00f3re mo\u017cna zwr\u00f3ci\u0107 uwag\u0119 b\u0119d\u0105 setki je\u015bli nie tysi\u0105ce. Threat Hunterzy musz\u0105 wi\u0119c by\u0107 \u015bwiadomi tego z jakich technik korzystaj\u0105 grupy aktywne w danym modelu zagro\u017ce\u0144 aby wiedzie\u0107 gdzie skupi\u0107 swoj\u0105 uwag\u0119 i jak najefektywniej wykorzysta\u0107 czas kt\u00f3ry maj\u0105 do dyspozycji. Jest jednak wiele rodzaj\u00f3w indykator\u00f3w kt\u00f3re analitycy CTI mog\u0105 dostarczy\u0107 poluj\u0105cym – jakie b\u0119d\u0105 wi\u0119c najbardziej u\u017cyteczne?<\/p>\n\n\n\n

Aby skategoryzowa\u0107 indykatory jakie analitycy CTI mog\u0105 dostarczy\u0107 threat hunterom pos\u0142u\u017cymy si\u0119 modelem piramidy b\u00f3lu (pyramid of pain) autorstwa Davida Bianco. Czemu piramida b\u00f3lu? Nie jest to bynajmniej b\u00f3l obro\u0144c\u00f3w, ale atakuj\u0105cych, kt\u00f3rzy to zale\u017cnie od stopnia piramidy musz\u0105 po\u015bwi\u0119ci\u0107 wi\u0119cej czasu i wysi\u0142ku aby unikn\u0105\u0107 detekcji. Przechodz\u0105c do rzeczy, model piramidy wygl\u0105da tak:<\/p>\n\n\n\n

\"Emulating<\/figure><\/div>\n\n\n\n

Na samym dole widzimy wi\u0119c „atomiczne” indykatory wrogiej aktywno\u015bci – hashe i adresy IP. Zmiana tych warto\u015bci jest dla napastnik\u00f3w bardzo \u0142atwa – w przypadku hasha nawet minimalna zmiana pliku jak dodanie nie maj\u0105cej \u017cadnego znaczenia funkcji zmieni warto\u015b\u0107. Podobnie jest z adresami IP. Zmiana infrastruktury na tym poziomie korzystaj\u0105c cho\u0107by z DDNS jest prosta i nie wymaga zbyt wiele wysi\u0142ku. Co wa\u017cniejsze jednak hashe i adresy IP, s\u0105 nazwijmy to „bezosobowymi”. Przydzielane s\u0105 automatycznie, przygotowuj\u0105cy operacje ma niewielki wp\u0142yw na ich warto\u015b\u0107. Trudno wi\u0119c polowa\u0107 tutaj na charakterystyczne elementy w\u0142amania umo\u017cliwiaj\u0105ce wykrywanie aktywno\u015bci na du\u017c\u0105 skal\u0119. B\u0119d\u0105c precyzyjnym nale\u017cy wskaza\u0107, \u017ce adresy IP znajduj\u0105 si\u0119 schodek wy\u017cej poniewa\u017c w przeciwie\u0144stwie do hasha IP ma dodatkowe charakterystyki – podmiot hostuj\u0105cy serwer, lokalizacja geograficzna.<\/p>\n\n\n\n

Nazwy domen to ju\u017c kolejny stopie\u0144, gdy\u017c ostatecznie nazwa ta musi zosta\u0107 „r\u0119cznie” okre\u015blona przez napastnik\u00f3w. Nawet je\u017celi m\u00f3wimy o automatycznym generowaniu domen przez DGA to schemat dzia\u0142ania algorytmu musia\u0142 zosta\u0107 wybrany i skonfigurowany przez napastnik\u00f3w. Analitycy CTI jednak lubi\u0105 domeny dlatego, \u017ce cz\u0119sto ich nazwy tworzone s\u0105 w oparciu o czytelne dla ludzi wzory gdy\u017c s\u0105 stosowane m.in. jako adresy do wysy\u0142ki maili phishinogowych. Dlatego te\u017c analiza wykorzystanych nazw np.: udaj\u0105cych adresy organizacji rz\u0105dowych mo\u017ce s\u0142u\u017cy\u0107 do mapowania infrastruktury. Je\u017celi m\u00f3wimy o huntingu jednak do najcz\u0119\u015bciej wci\u0105\u017c nie maj\u0105 one du\u017cej warto\u015bci – domeny zmieniaj\u0105 si\u0119 na tyle szybko, \u017ce proaktywne wyszukiwanie na ich podstawie z\u0142o\u015bliwych dzia\u0142a\u0144 nie przyniesie oczekiwanych rezultat\u00f3w.<\/p>\n\n\n\n

Sytuacja zmienia si\u0119 kiedy wchodzimy na trzy g\u00f3rne poziomy piramidy na kt\u00f3ry znajdziemy odpowiednio artefakty sieciowe i pozostawiane na hostach, narz\u0119dzia i w ko\u0144cu taktyki, techniki i procedury wykorzystywane przez atakuj\u0105cych. Przyjrzyjmy si\u0119 wi\u0119c bli\u017cej tym kategoriom:<\/p>\n\n\n\n

  1. Artefakty sieciowe to elementy znajdziemy w komunikacji pomi\u0119dzy maszynami ofiar i napastnik\u00f3w. Mog\u0105 to by\u0107 wi\u0119c elementy w ruchu takiej jak user-agent string, wykorzystane us\u0142ugi b\u0105d\u017a metody HTTP.<\/li>
  2. Artefakty na hostach to z kolei wszelkie \u015blady pozostawione na maszynie ofiary. Mo\u017cemy tutaj wskaza\u0107 klucze w rejestrze wykorzystywane przez implanty, utworzone foldery i pliki albo serwisy.<\/li>
  3. Narz\u0119dzia to ju\u017c konkretne implanty i software wspomagaj\u0105cy w\u0142amania. Przyk\u0142ady b\u0119d\u0105 tutaj obejmowa\u0107 zar\u00f3wno og\u00f3lno dost\u0119pne i otwarto \u017ar\u00f3d\u0142owe narz\u0119dzia jak Mimikatz czy Empire, jak i implanty tworzone przez grupy dla cel\u00f3w konkretnych operacji. Mo\u017cliwo\u015b\u0107 efektywnego wykrywania narz\u0119dzi jest ju\u017c bardzo wysoko na naszej piramidzie, gdy\u017c zmusza do zmian metod uzyskiwania dost\u0119pu, utrzymywania go w systemie czy eksfiltracji danych. W przypadku grup polegaj\u0105cych na gotowych narz\u0119dziach i nie maj\u0105cych dost\u0119pu do developer\u00f3w mog\u0105cych odpowiednio przekszta\u0142ci\u0107 narz\u0119dzia lub stworzy\u0107 nowe, mo\u017ce to ju\u017c by\u0107 powa\u017cna przeszkoda w dalszych dzia\u0142aniach.<\/li>
  4. W ko\u0144cu na samym g\u00f3rze umieszczone s\u0105 taktyki (wysoko poziomowy opis aktywno\u015bci jak wykonanie okre\u015blonej akcji), techniki (opis osi\u0105gni\u0119cia celu aktywno\u015bci jak wykorzystywanie PowerShella) i procedury (szczeg\u00f3\u0142owy opis implementacji techniki jak kolejne kroki do obej\u015bcia AMSI w PowerShellu). Mo\u017cliwo\u015b\u0107 wykrywania tego szczebla aktywno\u015bci jest tak cenna gdy\u017c zmusza napastnik\u00f3w do napisana od nowa pewnych element\u00f3w dzia\u0142a\u0144 (lub mo\u017ce nawet ca\u0142o\u015bci) co nie zawsze b\u0119dzie mo\u017cliwe w ramach czasowych przeznaczonych na operacj\u0119. W przypadku grup przest\u0119pczych korzystaj\u0105cych z metod i plan\u00f3w dzia\u0142a\u0144, tak daleko id\u0105ce utrudnienia mog\u0105 sprawi\u0107 nawet, \u017ce operacja przestanie by\u0107 rentowna, a atakuj\u0105cy zaczn\u0105 szuka\u0107 innych cel\u00f3w.<\/li><\/ol>\n\n\n\n

    Prowadz\u0105c threat hunting b\u0119dziemy wi\u0119c zainteresowani trzema ostatnimi poziomami. Wykrywanie narz\u0119dzi i sposob\u00f3w dzia\u0142ania atakuj\u0105cych umo\u017cliwi nam realne dzia\u0142ania proaktywne – zamiast liczy\u0107, \u017ce „trafimy” z indykatorem takim jak domena, przechodzimy do ofensywy i mo\u017cemy przeciwdzia\u0142a\u0107 z\u0142o\u015bliwej aktywno\u015bci na r\u00f3\u017cnych etapach. Tak wi\u0119c nawet je\u015bli napastnikom uda\u0142o si\u0119 uzyska\u0107 dost\u0119p do systemu to wykrywaj\u0105c narz\u0119dzi z kt\u00f3rego korzystaj\u0105 do eksfiltracji danych ostatecznie pokrzy\u017cujemy ich plany. Dlatego te\u017c za\u0142o\u017ceniem, kt\u00f3re przyjmujemy zaczynaj\u0105c hunting jest „assume breach” czyli zak\u0142adamy, \u017ce atakuj\u0105cym uda\u0142o si\u0119 ju\u017c uzyska\u0107 dost\u0119p i s\u0105 aktywni w \u015brodowisku. Mo\u017ce si\u0119 to wydawa\u0107 dziwne – w ko\u0144cu chyba powinni\u015bmy zapobiega\u0107 atakom? Tak powinni\u015bmy, jednak nie zapominajmy, \u017ce udane w\u0142amanie ko\u0144czy si\u0119 gdy uda si\u0119 osi\u0105gn\u0105\u0107 cele (Actions on objectives). Z tej perspektywy wi\u0119c nie jest istotne czy z\u0142apiemy, przyk\u0142adowo ransomware, na etapie maila phishingowego czy eskalacji uprawnie\u0144 dop\u00f3ki zapobiegniemy ostatecznie szyfrowaniu danych. Po drugie zak\u0142adanie, \u017ce nie uda nam si\u0119 powstrzyma\u0107 wszelkie pr\u00f3by w\u0142ama\u0144 na etapie uzyskiwania dost\u0119pu jest zwyczajnie nierealne. Dlatego lepsze rezultaty przyniesie je\u017celi realistycznie podejdziemy do obrony i zaczniemy atakowa\u0107 atakuj\u0105cych swoimi dzia\u0142aniami w pe\u0142nym spektrum \u0142a\u0144cucha.<\/p>\n\n\n\n

    Hunting zaczynamy od opracowania hipotez, kt\u00f3re b\u0119dziemy weryfikowa\u0107 w toku analizy \u015brodowiska. Tutaj w\u0142a\u015bnie kluczow\u0105 rol\u0119 pe\u0142ni wsp\u00f3\u0142praca z CTI dostarczaj\u0105cego nam informacji na temat metod dzia\u0142ania stosowanych przez atakuj\u0105cych. Wiedz\u0105c jakie grupy s\u0105 potencjalnie zainteresowane naszym \u015brodowiskiem mo\u017cemy zacz\u0105\u0107 tworzy\u0107 hipotezy uwzgl\u0119dniaj\u0105ce narz\u0119dzia z jakich stosuj\u0105, to jak zachowuj\u0105 si\u0119 stosowane implanty b\u0105d\u017a jakie s\u0105 ulubione metody poruszania si\u0119 w \u015brodowisku. Za\u0142\u00f3\u017cmy wi\u0119c, \u017ce od CTI otrzymali\u015bmy informacje, \u017ce grupa korzysta z CobaltStrike’a i autorskiego implantu, kt\u00f3ry utrzymuje dost\u0119p do systemu przez stworzenie serwisu o nazwie wed\u0142ug schematu „sys[0-9]{3}[a-z]{4}”. Na podstawie tej informacji mo\u017cemy stworzy\u0107 przyk\u0142adowe hipotezy:<\/p>\n\n\n\n

    1. Odnajdziemy w \u015brodowisku procesy rundll32.exe uruchamiane bez parametr\u00f3w, kt\u00f3re s\u0105 u\u017cywane przez CobaltStrike jako proces do wstrzykni\u0119cia kodu.<\/a><\/li>
    2. Znajdziemy artefakty funkcjonalno\u015bci systemu Windows named pipes z nazwami, kt\u00f3re wykorzystuje Cobalt Strike.<\/a><\/li>
    3. W ko\u0144cu odnajdziemy na hostach w \u015brodowisku serwisy z nazwami „sys[0-9]{3}[a-z]{4}”.<\/li><\/ol>\n\n\n\n

      Nast\u0119pnym krokiem b\u0119dzie ustalenie analiza log\u00f3w i weryfikacja tego czy na ich podstawie mo\u017cemy potwierdzi\u0107 nasze za\u0142o\u017cenia co do \u015blad\u00f3w z\u0142o\u015bliwej aktywno\u015bci. Je\u017celi takie odnajdziemy to zazwyczaj b\u0119dzie to prowadzi\u0107 do rozpocz\u0119cia procesu reakcji na incydent. Dost\u0119pny wachlarz \u017ar\u00f3de\u0142, kt\u00f3re mo\u017cemy wykorzysta\u0107 w huntingu jest naturalnie du\u017co szerszy i ograniczony w\u0142a\u015bciwie tylko widoczno\u015bci\u0105 \u015brodowiska. W\u015br\u00f3d najbardziej popularnych \u017ar\u00f3de\u0142 danych wymieni\u0107 mo\u017cemy logi z:<\/p>\n\n\n\n

      1. Dziennik\u00f3w zdarze\u0144 systemu Windows.<\/li>
      2. Proxy<\/li>
      3. Firewall<\/li>
      4. EDR<\/li>
      5. VPN<\/li>
      6. AD\/LDAP<\/li><\/ol>\n\n\n\n

        I mo\u017cna by jeszcze tak d\u0142ugo wymienia\u0107. To z jakich \u017ar\u00f3de\u0142 b\u0119dziemy korzysta\u0107 zale\u017cy od tego jakie zachowania staramy si\u0119 odnale\u017a\u0107 i oczywi\u015bcie jakie logi s\u0105 zbierane i faktycznie dla nas dost\u0119pne.<\/p>\n\n\n\n

        Co je\u017celi jednak nic nie znale\u017ali\u015bmy? Czy oznacza to, \u017ce mo\u017cemy zaj\u0105\u0107 si\u0119 kolejnymi hipotezami i zapomnie\u0107 o tych ju\u017c sprawdzonych? By\u0142aby to du\u017ca strata naszego wysi\u0142ku i czasu – mamy informacje o tym jak zachowuj\u0105 si\u0119 threat actorzy, a nasze poszukiwania w \u015brodowisku pozwoli\u0142y nam oceni\u0107 czy zachowania te wyr\u00f3\u017cniaj\u0105 si\u0119 w\u015br\u00f3d normalnej aktywno\u015bci. Dlaczego wi\u0119c nie zapisa\u0107 efekt\u00f3w naszych dzia\u0142a\u0144 i stworzy\u0107 regu\u0142y detekcyjnej, kt\u00f3ra pomo\u017ce w przysz\u0142o\u015bci odnale\u017a\u0107 podobne zachowania i by\u0107 mo\u017ce naprowadzi SOC na aktywno\u015bci, ju\u017c bez pomocy huntingu. O wsp\u00f3\u0142pracy pomi\u0119dzy zespo\u0142ami detekcji, reagowania na incydenty i CTI m\u00f3wi\u0142em podczas mojego wyst\u0105pienia na x33fconie 2021<\/a>, gdzie zaprezentowa\u0142em te\u017c schemat modelowych relacji mi\u0119dzy zespo\u0142ami:<\/p>\n\n\n\n

        \"\"<\/figure><\/div>\n\n\n\n

        Dla efektywnego dzia\u0142ania, relacja pomi\u0119dzy analitykami CTI i threat hunting musi by\u0107 wi\u0119c dwustronna – CTI dostarcza danych do budowania hipotez, a hunterzy m\u00f3wi\u0105 analitykom co widz\u0105 wzbogacaj\u0105c wiedze o atakach. Ten proces dzia\u0142ania dobrze opisuje schemat F3EAD, kt\u00f3ry pojawia si\u0119 na moim wykresie. F3EAD to wywodz\u0105ca si\u0119 z operacji wojskowych<\/a> metodologia niejako \u0142\u0105cz\u0105ca cykl wywiadowczy<\/a> z aktywnym wykrywaniem zagro\u017ce\u0144. Jego fazy przedstawiaj\u0105 si\u0119 nast\u0119puj\u0105co:<\/p>\n\n\n\n

        1. Find – na podstawie dost\u0119pnych danych CTI ustalamy zagro\u017cenia dla naszego \u015brodowiska i metody jego wykrywania.<\/li>
        2. Fix – stosowanie analityk i analiz \u015brodowiska (np.: log\u00f3w) w celu odnalezienia z\u0142o\u015bliwej aktywno\u015bci. Tutaj znajdujemy maszyny do kt\u00f3rych dost\u0119p uzyska\u0142 atakuj\u0105cy i okre\u015blamy zakres w\u0142amania. Mo\u017cna powiedzie\u0107, \u017ce w\u0142a\u015bciwy threat hunting ma miejsce w\u0142a\u015bnie tutaj.<\/li>
        3. Finish – dzia\u0142ania z zakresu reagowania na incydenty maj\u0105ce na celu usuni\u0119cie aktywno\u015bci ze \u015brodowiska, odci\u0119cie dost\u0119pu atakuj\u0105cych i napraw\u0119 skutk\u00f3w ataku.<\/li>
        4. Exploit – po tym jak ju\u017c powstrzymali\u015bmy wrog\u0105 aktywno\u015b\u0107 zaczynamy przygl\u0105da\u0107 si\u0119 jego dzia\u0142aniom i zbieramy jak najwi\u0119cej danych o w\u0142amaniu. Faza ta odpowiada wi\u0119c fazie zbierania informacji z cyklu wywiadowczego.<\/li>
        5. Analyze – po zebraniu danych analitycy podsumowuj\u0105 obserwacje co do zastosowanych TTP, analizuj\u0105 pr\u00f3bki malware’u w celu odkrycia ich funkcjonalno\u015bci i tworzenia sygnatur, przetwarzaj\u0105 wi\u0119c dane pozyskane w poprzednim kroku.<\/li>
        6. Disseminate – w ko\u0144cu efekty analiz s\u0105 rozpowszechniane w\u015br\u00f3d zespo\u0142\u00f3w tworz\u0105cych organizacj\u0119 bezpiecze\u0144stwa (na poziomie taktycznym, operacyjnym i strategicznym) aby poszerzy\u0107 wiedz\u0119 o zagro\u017ceniach i lepiej przygotowa\u0107 si\u0119 do nast\u0119pnych pr\u00f3b w\u0142amania.<\/li><\/ol>\n\n\n\n

          Jak widzimy wi\u0119c threat hunting to pot\u0119\u017cne narz\u0119dzie pozwalaj\u0105ce zmieni\u0107 obron\u0119 w atak. Aktywnie poszukuj\u0105c z\u0142o\u015bliwej aktywno\u015bci zmuszamy napastnik\u00f3w do zmian w wykorzystywanych narz\u0119dziach i sposobach dzia\u0142ania podnosz\u0105c koszt ich dzia\u0142a\u0144 i zniech\u0119caj\u0105c do atak\u00f3w przeciwko naszemu \u015brodowisku. Skuteczny hunting wymaga jednak nie tylko wiedzy technicznej ale wsp\u00f3\u0142dzia\u0142ania pomi\u0119dzy zespo\u0142ami i wymiany informacji. Wtedy nawet najbardziej zaawansowane grupy b\u0119d\u0105 musia\u0142y mie\u0107 si\u0119 na baczno\u015bci podczas pr\u00f3b atak\u00f3w na nasze \u015brodowisko.<\/p>\n","protected":false},"excerpt":{"rendered":"

          Na counterintelligence.pl po\u015bwi\u0119ci\u0142em ju\u017c sporo miejsca OSINTowi i threat intelligence. Nie mo\u017cemy jednak zapomina\u0107, \u017ce wywiad w r\u00f3\u017cnych swoich formach pe\u0142ni przede wszystkim funkcj\u0119 pomocnicz\u0105. Wspiera podejmowania decyzji, reakcje na incydenty czy wykrywanie z\u0142o\u015bliwej aktywno\u015bci. I w\u0142a\u015bnie threat hunting to aktywno\u015b\u0107, kt\u00f3ra w ten czy inny spos\u00f3b musi u swoich […]<\/p>\n","protected":false},"author":2,"featured_media":656,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"cybocfi_hide_featured_image":"","_jetpack_memberships_contains_paid_content":false,"footnotes":""},"categories":[6],"tags":[58,39,55,57,41],"class_list":["post-646","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-threat-intelligence","tag-f3ead","tag-kill-chain","tag-malware","tag-threat-hunting","tag-threat-intelligence"],"yoast_head":"\nHunting - zaprz\u0119gaj\u0105c CTI do pracy - counterintelligence.pl<\/title>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/counterintelligence.pl\/en\/2022\/03\/hunting-zaprzegajac-cti-do-pracy\/\" \/>\n<meta property=\"og:locale\" content=\"en_US\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Hunting - zaprz\u0119gaj\u0105c CTI do pracy - counterintelligence.pl\" \/>\n<meta property=\"og:description\" content=\"Na counterintelligence.pl po\u015bwi\u0119ci\u0142em ju\u017c sporo miejsca OSINTowi i threat intelligence. Nie mo\u017cemy jednak zapomina\u0107, \u017ce wywiad w r\u00f3\u017cnych swoich formach pe\u0142ni przede wszystkim funkcj\u0119 pomocnicz\u0105. Wspiera podejmowania decyzji, reakcje na incydenty czy wykrywanie z\u0142o\u015bliwej aktywno\u015bci. I w\u0142a\u015bnie threat hunting to aktywno\u015b\u0107, kt\u00f3ra w ten czy inny spos\u00f3b musi u swoich […]\" \/>\n<meta property=\"og:url\" content=\"https:\/\/counterintelligence.pl\/en\/2022\/03\/hunting-zaprzegajac-cti-do-pracy\/\" \/>\n<meta property=\"og:site_name\" content=\"counterintelligence.pl\" \/>\n<meta property=\"article:published_time\" content=\"2022-03-23T21:14:02+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/counterintelligence.pl\/wp-content\/uploads\/2022\/03\/Needle_in_haystack6-scaled.jpg\" \/>\n\t<meta property=\"og:image:width\" content=\"2560\" \/>\n\t<meta property=\"og:image:height\" content=\"1569\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/jpeg\" \/>\n<meta name=\"author\" content=\"Kamil Bojarski\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:creator\" content=\"@lawsecnet\" \/>\n<meta name=\"twitter:site\" content=\"@lawsecnet\" \/>\n<meta name=\"twitter:label1\" content=\"Written by\" \/>\n\t<meta name=\"twitter:data1\" content=\"Kamil Bojarski\" \/>\n\t<meta name=\"twitter:label2\" content=\"Est. reading time\" \/>\n\t<meta name=\"twitter:data2\" content=\"9 minutes\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\\\/\\\/schema.org\",\"@graph\":[{\"@type\":\"Article\",\"@id\":\"https:\\\/\\\/counterintelligence.pl\\\/2022\\\/03\\\/hunting-zaprzegajac-cti-do-pracy\\\/#article\",\"isPartOf\":{\"@id\":\"https:\\\/\\\/counterintelligence.pl\\\/2022\\\/03\\\/hunting-zaprzegajac-cti-do-pracy\\\/\"},\"author\":{\"name\":\"Kamil Bojarski\",\"@id\":\"https:\\\/\\\/counterintelligence.pl\\\/#\\\/schema\\\/person\\\/a2bd0e683e8f31df48bd02f45508e8ba\"},\"headline\":\"Hunting – zaprz\u0119gaj\u0105c CTI do pracy\",\"datePublished\":\"2022-03-23T21:14:02+00:00\",\"mainEntityOfPage\":{\"@id\":\"https:\\\/\\\/counterintelligence.pl\\\/2022\\\/03\\\/hunting-zaprzegajac-cti-do-pracy\\\/\"},\"wordCount\":2192,\"commentCount\":0,\"publisher\":{\"@id\":\"https:\\\/\\\/counterintelligence.pl\\\/#\\\/schema\\\/person\\\/a2bd0e683e8f31df48bd02f45508e8ba\"},\"image\":{\"@id\":\"https:\\\/\\\/counterintelligence.pl\\\/2022\\\/03\\\/hunting-zaprzegajac-cti-do-pracy\\\/#primaryimage\"},\"thumbnailUrl\":\"https:\\\/\\\/i0.wp.com\\\/counterintelligence.pl\\\/wp-content\\\/uploads\\\/2022\\\/03\\\/Needle_in_haystack6-scaled.jpg?fit=2560%2C1569&ssl=1\",\"keywords\":[\"F3EAD\",\"kill-chain\",\"malware\",\"threat hunting\",\"threat intelligence\"],\"articleSection\":[\"Threat Intelligence\"],\"inLanguage\":\"en-US\",\"potentialAction\":[{\"@type\":\"CommentAction\",\"name\":\"Comment\",\"target\":[\"https:\\\/\\\/counterintelligence.pl\\\/2022\\\/03\\\/hunting-zaprzegajac-cti-do-pracy\\\/#respond\"]}]},{\"@type\":\"WebPage\",\"@id\":\"https:\\\/\\\/counterintelligence.pl\\\/2022\\\/03\\\/hunting-zaprzegajac-cti-do-pracy\\\/\",\"url\":\"https:\\\/\\\/counterintelligence.pl\\\/2022\\\/03\\\/hunting-zaprzegajac-cti-do-pracy\\\/\",\"name\":\"Hunting - zaprz\u0119gaj\u0105c CTI do pracy - counterintelligence.pl\",\"isPartOf\":{\"@id\":\"https:\\\/\\\/counterintelligence.pl\\\/#website\"},\"primaryImageOfPage\":{\"@id\":\"https:\\\/\\\/counterintelligence.pl\\\/2022\\\/03\\\/hunting-zaprzegajac-cti-do-pracy\\\/#primaryimage\"},\"image\":{\"@id\":\"https:\\\/\\\/counterintelligence.pl\\\/2022\\\/03\\\/hunting-zaprzegajac-cti-do-pracy\\\/#primaryimage\"},\"thumbnailUrl\":\"https:\\\/\\\/i0.wp.com\\\/counterintelligence.pl\\\/wp-content\\\/uploads\\\/2022\\\/03\\\/Needle_in_haystack6-scaled.jpg?fit=2560%2C1569&ssl=1\",\"datePublished\":\"2022-03-23T21:14:02+00:00\",\"breadcrumb\":{\"@id\":\"https:\\\/\\\/counterintelligence.pl\\\/2022\\\/03\\\/hunting-zaprzegajac-cti-do-pracy\\\/#breadcrumb\"},\"inLanguage\":\"en-US\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\\\/\\\/counterintelligence.pl\\\/2022\\\/03\\\/hunting-zaprzegajac-cti-do-pracy\\\/\"]}]},{\"@type\":\"ImageObject\",\"inLanguage\":\"en-US\",\"@id\":\"https:\\\/\\\/counterintelligence.pl\\\/2022\\\/03\\\/hunting-zaprzegajac-cti-do-pracy\\\/#primaryimage\",\"url\":\"https:\\\/\\\/i0.wp.com\\\/counterintelligence.pl\\\/wp-content\\\/uploads\\\/2022\\\/03\\\/Needle_in_haystack6-scaled.jpg?fit=2560%2C1569&ssl=1\",\"contentUrl\":\"https:\\\/\\\/i0.wp.com\\\/counterintelligence.pl\\\/wp-content\\\/uploads\\\/2022\\\/03\\\/Needle_in_haystack6-scaled.jpg?fit=2560%2C1569&ssl=1\",\"width\":2560,\"height\":1569},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\\\/\\\/counterintelligence.pl\\\/2022\\\/03\\\/hunting-zaprzegajac-cti-do-pracy\\\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Home\",\"item\":\"https:\\\/\\\/counterintelligence.pl\\\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"Hunting – zaprz\u0119gaj\u0105c CTI do pracy\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\\\/\\\/counterintelligence.pl\\\/#website\",\"url\":\"https:\\\/\\\/counterintelligence.pl\\\/\",\"name\":\"counterintelligence.pl\",\"description\":\"Threat Inteliigence \\\/ OSINT \\\/ NETSEC \\\/ NATSEC\",\"publisher\":{\"@id\":\"https:\\\/\\\/counterintelligence.pl\\\/#\\\/schema\\\/person\\\/a2bd0e683e8f31df48bd02f45508e8ba\"},\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\\\/\\\/counterintelligence.pl\\\/?s={search_term_string}\"},\"query-input\":{\"@type\":\"PropertyValueSpecification\",\"valueRequired\":true,\"valueName\":\"search_term_string\"}}],\"inLanguage\":\"en-US\"},{\"@type\":[\"Person\",\"Organization\"],\"@id\":\"https:\\\/\\\/counterintelligence.pl\\\/#\\\/schema\\\/person\\\/a2bd0e683e8f31df48bd02f45508e8ba\",\"name\":\"Kamil Bojarski\",\"image\":{\"@type\":\"ImageObject\",\"inLanguage\":\"en-US\",\"@id\":\"https:\\\/\\\/i0.wp.com\\\/counterintelligence.pl\\\/wp-content\\\/uploads\\\/2023\\\/11\\\/ci_hor.png?fit=1521%2C721&ssl=1\",\"url\":\"https:\\\/\\\/i0.wp.com\\\/counterintelligence.pl\\\/wp-content\\\/uploads\\\/2023\\\/11\\\/ci_hor.png?fit=1521%2C721&ssl=1\",\"contentUrl\":\"https:\\\/\\\/i0.wp.com\\\/counterintelligence.pl\\\/wp-content\\\/uploads\\\/2023\\\/11\\\/ci_hor.png?fit=1521%2C721&ssl=1\",\"width\":1521,\"height\":721,\"caption\":\"Kamil Bojarski\"},\"logo\":{\"@id\":\"https:\\\/\\\/i0.wp.com\\\/counterintelligence.pl\\\/wp-content\\\/uploads\\\/2023\\\/11\\\/ci_hor.png?fit=1521%2C721&ssl=1\"},\"sameAs\":[\"https:\\\/\\\/counterintelligence.pl\",\"https:\\\/\\\/www.linkedin.com\\\/in\\\/kamil-bojarski\\\/\",\"https:\\\/\\\/x.com\\\/lawsecnet\"]}]}<\/script>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"Hunting - Putting CTI to Work - counterintelligence.pl","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/counterintelligence.pl\/en\/2022\/03\/hunting-zaprzegajac-cti-do-pracy\/","og_locale":"en_US","og_type":"article","og_title":"Hunting - zaprz\u0119gaj\u0105c CTI do pracy - counterintelligence.pl","og_description":"Na counterintelligence.pl po\u015bwi\u0119ci\u0142em ju\u017c sporo miejsca OSINTowi i threat intelligence. Nie mo\u017cemy jednak zapomina\u0107, \u017ce wywiad w r\u00f3\u017cnych swoich formach pe\u0142ni przede wszystkim funkcj\u0119 pomocnicz\u0105. Wspiera podejmowania decyzji, reakcje na incydenty czy wykrywanie z\u0142o\u015bliwej aktywno\u015bci. I w\u0142a\u015bnie threat hunting to aktywno\u015b\u0107, kt\u00f3ra w ten czy inny spos\u00f3b musi u swoich […]","og_url":"https:\/\/counterintelligence.pl\/en\/2022\/03\/hunting-zaprzegajac-cti-do-pracy\/","og_site_name":"counterintelligence.pl","article_published_time":"2022-03-23T21:14:02+00:00","og_image":[{"width":2560,"height":1569,"url":"https:\/\/counterintelligence.pl\/wp-content\/uploads\/2022\/03\/Needle_in_haystack6-scaled.jpg","type":"image\/jpeg"}],"author":"Kamil Bojarski","twitter_card":"summary_large_image","twitter_creator":"@lawsecnet","twitter_site":"@lawsecnet","twitter_misc":{"Written by":"Kamil Bojarski","Est. reading time":"9 minutes"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/counterintelligence.pl\/2022\/03\/hunting-zaprzegajac-cti-do-pracy\/#article","isPartOf":{"@id":"https:\/\/counterintelligence.pl\/2022\/03\/hunting-zaprzegajac-cti-do-pracy\/"},"author":{"name":"Kamil Bojarski","@id":"https:\/\/counterintelligence.pl\/#\/schema\/person\/a2bd0e683e8f31df48bd02f45508e8ba"},"headline":"Hunting – zaprz\u0119gaj\u0105c CTI do pracy","datePublished":"2022-03-23T21:14:02+00:00","mainEntityOfPage":{"@id":"https:\/\/counterintelligence.pl\/2022\/03\/hunting-zaprzegajac-cti-do-pracy\/"},"wordCount":2192,"commentCount":0,"publisher":{"@id":"https:\/\/counterintelligence.pl\/#\/schema\/person\/a2bd0e683e8f31df48bd02f45508e8ba"},"image":{"@id":"https:\/\/counterintelligence.pl\/2022\/03\/hunting-zaprzegajac-cti-do-pracy\/#primaryimage"},"thumbnailUrl":"https:\/\/i0.wp.com\/counterintelligence.pl\/wp-content\/uploads\/2022\/03\/Needle_in_haystack6-scaled.jpg?fit=2560%2C1569&ssl=1","keywords":["F3EAD","kill-chain","malware","threat hunting","threat intelligence"],"articleSection":["Threat Intelligence"],"inLanguage":"en-US","potentialAction":[{"@type":"CommentAction","name":"Comment","target":["https:\/\/counterintelligence.pl\/2022\/03\/hunting-zaprzegajac-cti-do-pracy\/#respond"]}]},{"@type":"WebPage","@id":"https:\/\/counterintelligence.pl\/2022\/03\/hunting-zaprzegajac-cti-do-pracy\/","url":"https:\/\/counterintelligence.pl\/2022\/03\/hunting-zaprzegajac-cti-do-pracy\/","name":"Hunting - Putting CTI to Work - counterintelligence.pl","isPartOf":{"@id":"https:\/\/counterintelligence.pl\/#website"},"primaryImageOfPage":{"@id":"https:\/\/counterintelligence.pl\/2022\/03\/hunting-zaprzegajac-cti-do-pracy\/#primaryimage"},"image":{"@id":"https:\/\/counterintelligence.pl\/2022\/03\/hunting-zaprzegajac-cti-do-pracy\/#primaryimage"},"thumbnailUrl":"https:\/\/i0.wp.com\/counterintelligence.pl\/wp-content\/uploads\/2022\/03\/Needle_in_haystack6-scaled.jpg?fit=2560%2C1569&ssl=1","datePublished":"2022-03-23T21:14:02+00:00","breadcrumb":{"@id":"https:\/\/counterintelligence.pl\/2022\/03\/hunting-zaprzegajac-cti-do-pracy\/#breadcrumb"},"inLanguage":"en-US","potentialAction":[{"@type":"ReadAction","target":["https:\/\/counterintelligence.pl\/2022\/03\/hunting-zaprzegajac-cti-do-pracy\/"]}]},{"@type":"ImageObject","inLanguage":"en-US","@id":"https:\/\/counterintelligence.pl\/2022\/03\/hunting-zaprzegajac-cti-do-pracy\/#primaryimage","url":"https:\/\/i0.wp.com\/counterintelligence.pl\/wp-content\/uploads\/2022\/03\/Needle_in_haystack6-scaled.jpg?fit=2560%2C1569&ssl=1","contentUrl":"https:\/\/i0.wp.com\/counterintelligence.pl\/wp-content\/uploads\/2022\/03\/Needle_in_haystack6-scaled.jpg?fit=2560%2C1569&ssl=1","width":2560,"height":1569},{"@type":"BreadcrumbList","@id":"https:\/\/counterintelligence.pl\/2022\/03\/hunting-zaprzegajac-cti-do-pracy\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/counterintelligence.pl\/"},{"@type":"ListItem","position":2,"name":"Hunting – zaprz\u0119gaj\u0105c CTI do pracy"}]},{"@type":"WebSite","@id":"https:\/\/counterintelligence.pl\/#website","url":"https:\/\/counterintelligence.pl\/","name":"counterintelligence.pl","description":"Threat Inteliigence \/ OSINT \/ NETSEC \/ NATSEC","publisher":{"@id":"https:\/\/counterintelligence.pl\/#\/schema\/person\/a2bd0e683e8f31df48bd02f45508e8ba"},"potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/counterintelligence.pl\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"en-US"},{"@type":["Person","Organization"],"@id":"https:\/\/counterintelligence.pl\/#\/schema\/person\/a2bd0e683e8f31df48bd02f45508e8ba","name":"Kamil Bojarski","image":{"@type":"ImageObject","inLanguage":"en-US","@id":"https:\/\/i0.wp.com\/counterintelligence.pl\/wp-content\/uploads\/2023\/11\/ci_hor.png?fit=1521%2C721&ssl=1","url":"https:\/\/i0.wp.com\/counterintelligence.pl\/wp-content\/uploads\/2023\/11\/ci_hor.png?fit=1521%2C721&ssl=1","contentUrl":"https:\/\/i0.wp.com\/counterintelligence.pl\/wp-content\/uploads\/2023\/11\/ci_hor.png?fit=1521%2C721&ssl=1","width":1521,"height":721,"caption":"Kamil Bojarski"},"logo":{"@id":"https:\/\/i0.wp.com\/counterintelligence.pl\/wp-content\/uploads\/2023\/11\/ci_hor.png?fit=1521%2C721&ssl=1"},"sameAs":["https:\/\/counterintelligence.pl","https:\/\/www.linkedin.com\/in\/kamil-bojarski\/","https:\/\/x.com\/lawsecnet"]}]}},"jetpack_featured_media_url":"https:\/\/i0.wp.com\/counterintelligence.pl\/wp-content\/uploads\/2022\/03\/Needle_in_haystack6-scaled.jpg?fit=2560%2C1569&ssl=1","jetpack_sharing_enabled":true,"_links":{"self":[{"href":"https:\/\/counterintelligence.pl\/en\/wp-json\/wp\/v2\/posts\/646","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/counterintelligence.pl\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/counterintelligence.pl\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/counterintelligence.pl\/en\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/counterintelligence.pl\/en\/wp-json\/wp\/v2\/comments?post=646"}],"version-history":[{"count":15,"href":"https:\/\/counterintelligence.pl\/en\/wp-json\/wp\/v2\/posts\/646\/revisions"}],"predecessor-version":[{"id":664,"href":"https:\/\/counterintelligence.pl\/en\/wp-json\/wp\/v2\/posts\/646\/revisions\/664"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/counterintelligence.pl\/en\/wp-json\/wp\/v2\/media\/656"}],"wp:attachment":[{"href":"https:\/\/counterintelligence.pl\/en\/wp-json\/wp\/v2\/media?parent=646"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/counterintelligence.pl\/en\/wp-json\/wp\/v2\/categories?post=646"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/counterintelligence.pl\/en\/wp-json\/wp\/v2\/tags?post=646"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}