什么是T-Hunt？

T-Hunt 顾名思义 Threat Hunting（威胁捕获），在解释威胁捕获之前，请阅读这段文字的你思考一个问题：“此时此刻，我想知道全球哪一款NAS、哪一款路由器、哪一个开源组件被攻击的最多；哪个漏洞被利用得最频繁。安全研究团队应该从哪儿入手发现网络当中的攻击呢？”

对于发现攻击这件事而言，有专业的NDR设备分析流量，发现流量当中的攻击；有专业的EDR产品，分析主机上的操作，发现相关的攻击。但是对于从事威胁捕获的研究团队而言，一方面中小研究团队很难向运营商要到核心网的流量数据，很难给不属于自己团队的主机都装上 EDR。另一方面，分析处理超大带宽的流量数据对安全研究团队人员的能力也是一种考验。

为了花费更少的成本实现对公网威胁的捕获，很多研究团队使用了蜜罐。古人云，兵不厌诈，蜜罐其实就是这样一个充满博弈的产品。安全研究团队通过各种技术手段，将自己伪装成某种设备或者某种服务，部署到全球不同的节点上，引诱攻击者进行攻击，并记录下攻击的整个过程。

蜜罐这种手段相比传统的 NDR/EDR有一个非常突出的优势——它是带交互的。互联网上的botnet早就不是愣头的脚本小子了，现在的botnet非常狡猾，首先会先扫描获取设备指纹，之后对命中指纹的设备进行OOB测试，最后只对通过 OOB 测试的设备发起真实的攻击。蜜罐可以对设备指纹、OOB 测试、甚至botnet downloader 的执行进行深度的模拟，以引诱并捕获攻击者完整的攻击过程。

T-Hunt 是以全端口智能蜜罐为基底构建的威胁捕获系统，为 atlas 提供互联网上真实发生的攻击证据。

威胁捕获团队面临的挑战

我从事过五年的威胁捕获工作，对于威胁捕获团队而言，其实面临着非常严峻的挑战——脱离产品研发的安全研究人员，其自身能力的局限，限制了威胁捕获系统发挥本来应有的作用。

1. 30% 蜜罐，70% 分析。 我曾经花费大量的时间在如何将蜜罐的交互做深上，这么做当然是符合直觉的，就像前文中提到的Botnet都非常狡猾。但现实情况是，90%以上的密罐日志都是噪声日志（全端口蜜罐有大量的日志是 DDoS 相关的噪声/无效的扫描探测），如果不能在噪声中定位攻击者获取设备指纹、OOB 测试等高价值攻击行为，在密罐层面做的所有后续交互都没有意义。换句话说，威胁捕获的核心难点在数据分析，即——如何发现攻击者的攻击过程断在哪一步？只有从断点迭代蜜罐的交互才有意义。但现实是，从事威胁捕获的安全研究员往往没有很强的数据分析能力，而数据分析师又不了解漏洞、botnet，这无疑形成了一个死循环。
2. 30% 威胁捕获，70% 能力输出。我曾经无数次问自己，从事威胁捕获这件事儿除了写一些报告以外有什么意义？问题就在这个地方：从事威胁捕获的安全研究人员可能是精通于蜜罐设计、漏洞复现、DDoS研究的某个领域的专家，甚至并不了解网络安全领域的相关产品，谈何将威胁捕获的成果转化成能力的输出呢？

为什么做这件事

威胁捕获团队本身在做非常有价值的事儿，蜜罐捕获的IoC、攻击者画像等攻击证据是真实存在的高价值情报，这对于安全产品规则、算法的维护人员而言十分宝贵，未知攻，焉知防。然而，大公司复杂的政治问题，导致研究团队和产品研发团队脱节，威胁捕获团队很难把成果赋能到产品上；小公司挣扎在存活线上，往往不重视安全研究上的投入。

近几年国内网络安全行业亏损严重，导致大量公司降威胁捕获团队的本，然而威胁捕获作为我进入网络安全行业的起点，还是希望其发挥出本来就应该有的作用：能让从业者，把蜜罐捕获的高价值情报，转换成实际的检测能力应用到产品上。