Threat Hunting: সাইবার অ্যালার্ম বাজার আগেই নেটওয়ার্কে লুকিয়ে থাকা অ্যাডভান্সড থ্রেট শনাক্ত করার পদ্ধতি!

SANS Institute Threat Hunting-কে সংজ্ঞায়িত করেছে "proactive, iterative, human-driven search through data to identify advanced threats that evade automated detection." এর প্রতিটি শব্দ অর্থবহ। "Proactive" মানে alert-এর জন্য অপেক্ষা না করা। "Iterative" মানে একবারের কাজ নয়, ক্রমাগত পুনরাবৃত্তিমূলক। "Human-driven" মানে স্বয়ংক্রিয় rule নয়, বিশ্লেষকের critical thinking। "Evade automated detection" মানে সেগুলোই যা SIEM rule বা signature ধরতে পারেনি।

Threat hunter-এর mindset traditional SOC analyst-এর চেয়ে আলাদা। SOC analyst alert pipeline পরিষ্কার রাখার জন্য কাজ করেন; hunter "what if?" প্রশ্ন করেন। SOC analyst-এর success metric ticket close rate; hunter-এর success metric new detection capability তৈরি করা। SOC analyst false positive কমাতে চান; hunter false negative খোঁজেন।

David Bianco-র "Pyramid of Pain" model threat hunting-এর strategic value ব্যাখ্যা করে। Pyramid-এর নিচে hash, IP address এবং domain — যা adversary সহজেই পরিবর্তন করতে পারেন। মাঝে network artifact এবং host artifact — যা পরিবর্তন কিছুটা painful। উপরে tools এবং Tactics, Techniques and Procedures (TTPs) — যা পরিবর্তন adversary-এর জন্য অত্যন্ত expensive এবং time-consuming।

Threat hunting-এর লক্ষ্য pyramid-এর উপরের দিকে operate করা — TTP-based detection তৈরি করা। যেমন, "Kerberoasting" technique detect করা একটি specific tool detection-এর চেয়ে অনেক value-able, কারণ adversary tool পরিবর্তন করলেও technique-এর core same থাকে।

David Bianco-র Hunting Maturity Model (HMM) পাঁচটি level-এ organization-এর hunting capability classify করে।

HMM 0 — Initial: কোনো hunting নেই, কেবল alert-based detection। HMM 1 — Minimal: কিছু threat intelligence feed integration, কিন্তু routine search নেই। HMM 2 — Procedural: পূর্বনির্ধারিত hunting procedure execute করা হয়, কিন্তু novel hypothesis তৈরি হয় না। HMM 3 — Innovative: hunter নিজেরাই novel hypothesis তৈরি করেন এবং new detection বানান। HMM 4 — Leading: সম্পূর্ণ automated continuous hunting, threat intelligence-এর সাথে seamlessly integrated।

বেশিরভাগ enterprise HMM 1 বা 2-এ থাকে। HMM 3-এ যেতে হলে skilled hunter, comprehensive data এবং organizational support প্রয়োজন।

Effective threat hunting hypothesis-driven workflow অনুসরণ করে। প্রথম step — hypothesis formulation। হ্যান্টার একটি specific, testable assumption তৈরি করেন। উদাহরণ: "যদি আমাদের network-এ Mimikatz ব্যবহৃত হয়, তাহলে আমরা suspicious LSASS process access pattern দেখতে পাব।" বা "যদি adversary scheduled task ব্যবহার করে persistence establish করে, তাহলে আমরা unusual schtasks.exe execution দেখতে পাব।"

দ্বিতীয় step — data identification। Hypothesis test করতে কোন data source প্রয়োজন তা চিহ্নিত করা — process execution log (Sysmon Event ID 1), network connection log (Sysmon ID 3), DNS query log (Sysmon ID 22), authentication log (Windows Event 4624, 4625, 4768), file modification log, ইত্যাদি।

তৃতীয় step — query design। SIEM query language (Splunk SPL, Elastic KQL, Microsoft Sentinel KQL) ব্যবহার করে data query করা। উদাহরণ Sentinel KQL: DeviceProcessEvents | where ProcessCommandLine contains "lsass" | where InitiatingProcessFileName !in ("svchost.exe", "lsm.exe") | summarize count() by DeviceName, InitiatingProcessFileName।

চতুর্থ step — analysis এবং investigation। Result-গুলো manually review করা, false positive eliminate করা এবং true positive থাকলে full incident response trigger করা।

পঞ্চম step — feedback loop। যা পাওয়া গেছে সেটি থেকে detection rule তৈরি করা, যাতে future-এ same TTP automatically detect হয়।

MITRE ATT&CK threat hunting-এর জন্য আজকের de facto framework। ১৪টি tactic (Initial Access, Execution, Persistence, Privilege Escalation, Defense Evasion, Credential Access, Discovery, Lateral Movement, Collection, Command and Control, Exfiltration, Impact) এবং ৬০০-এর বেশি technique এবং sub-technique-এর mapping।

Hunter-রা ATT&CK Navigator ব্যবহার করে heatmap তৈরি করেন — কোন technique-এ তাদের detection coverage আছে, কোথায় নেই। এই gap analysis থেকে hunting priority নির্ধারণ হয়।

ATT&CK-এর সাথে সাথে hunters Atomic Red Team — Red Canary-এর open-source project — ব্যবহার করে technique simulate করেন এবং detection validate করেন। প্রতিটি atomic test একটি specific ATT&CK technique-কে controlled environment-এ execute করে এবং hunter দেখেন তার SIEM সেটি catch করতে পারে কিনা।

কয়েকটি classic hunting hypothesis যা mature SOC routine চালায়।

Lateral Movement via PsExec/WMI: PsExec.exe-এর execution event, cmd.exe /c \\server admin$ ..., WMI process creation (wmiprvse.exe child process)। Network log-এ SMB connection from non-admin workstation।

LSASS Memory Access: Sysmon Event ID 10 যেখানে GrantedAccess 0x1010 বা 0x1410 (Mimikatz signature)। Procdump এবং comsvcs.dll-এর MiniDump call।

Suspicious PowerShell Activity: encoded command (-enc, FromBase64String), reflective DLL loading, suspicious cmdlet (Invoke-Mimikatz, IEX Net.WebClient)।

Living-off-the-Land Binary Abuse: certutil.exe-এর download flag, bitsadmin.exe-এর transfer command, rundll32.exe-এর unusual export call, regsvr32.exe-এর scriptlet execution।

Unusual Scheduled Task: schtasks.exe with /create flag triggering binary in %TEMP% বা %APPDATA%।

DNS Tunneling: একই domain-এ অস্বাভাবিক উচ্চ frequency DNS query, abnormally long subdomain, high entropy DNS label।

Beacon-Like Behavior: একটি specific endpoint থেকে regular interval-এ (যেমন প্রতি ৬০ সেকেন্ডে) একই destination-এ small HTTP request।

Threat hunting-এর কার্যকারিতা data quality-এর উপর সম্পূর্ণ নির্ভরশীল। Garbage in, garbage out। Mature hunting program-এর জন্য কয়েকটি data source অপরিহার্য।

Endpoint Telemetry: Sysmon (community config-এ SwiftOnSecurity বা Olaf Hartong-এর modular config), EDR product (CrowdStrike, Microsoft Defender for Endpoint, SentinelOne, Elastic Defend)। Process execution, network connection, file creation, registry change, image loading — সব event।

Network Telemetry: Zeek (formerly Bro), Suricata, NetFlow/IPFIX। Connection log, DNS log, HTTP log, SSL/TLS log। Full packet capture যদি bandwidth-এ সম্ভব।

Authentication Log: Windows Event Log (Security channel), Active Directory log, Azure AD sign-in log, VPN log, identity provider audit log।

Cloud Audit Log: AWS CloudTrail, Azure Activity Log, GCP Cloud Audit Logs, Microsoft 365 Unified Audit Log।

Application Log: web server access log (NGINX, IIS), database audit log, custom application log।

এই সব data centralized SIEM-এ ingest করতে হয়। Splunk, Elastic Security, Microsoft Sentinel, Chronicle (Google), Sumo Logic — popular options। Data retention সাধারণত ৯০ দিন থেকে ১ বছর — কিন্তু APT investigation-এর জন্য আরো দীর্ঘ retention প্রয়োজন।

Threat intelligence (TI) hunting-এর fuel। Commercial feed (Mandiant, Recorded Future, CrowdStrike Falcon Intelligence), open-source feed (MISP, AlienVault OTX, abuse.ch), এবং internal intelligence (পূর্ববর্তী incident থেকে IoC) — সবগুলো hunter-এর কাছে available থাকা উচিত।

হান্টার TI ব্যবহার করেন hypothesis generation-এ। উদাহরণ, যদি TI feed বলে "APT29 recently using OneDrive for C2 exfiltration", হান্টার নিজের network-এ OneDrive traffic pattern analyze করেন।

STIX/TAXII standard ব্যবহার করে TI feed automated ingestion সম্ভব। OpenCTI বা MISP-এর মতো platform indicator management সহজ করে।

Modern hunting team নিম্নলিখিত technology stack ব্যবহার করে।

SIEM/Data Lake: Splunk, Elastic Stack, Microsoft Sentinel, Chronicle, Snowflake-based data lake।

EDR/XDR: CrowdStrike Falcon, Microsoft Defender XDR, SentinelOne Singularity, Carbon Black, Elastic Defend।

Hunting Platform: Velociraptor (Rapid7), GRR (Google), osquery (Facebook/Meta), Kolide। এই tool live endpoint-এ ad-hoc query চালানোর সুযোগ দেয়।

Notebook Environment: Jupyter Notebook, Microsoft Azure Sentinel Notebook — যেখানে hunter Python pandas এবং matplotlib দিয়ে complex analysis run করেন।

Visualization: Kibana, Grafana, Splunk dashboard, Sigma rule-based detection।

Sigma: vendor-neutral rule format, যা একবার লেখা যায় এবং বিভিন্ন SIEM-এ translate করা যায়। SigmaHQ-এর GitHub repository ৩,০০০+ community-contributed rule রয়েছে।

একজন effective threat hunter বহুমাত্রিক skill set ধারণ করেন।

Adversary Knowledge: MITRE ATT&CK, APT group profile, malware family behavior, geopolitical context।

System Internals: Windows internals, Linux internals, macOS internals — process structure, memory management, persistence mechanism।

Network Protocol: TCP/IP, HTTP, DNS, SMB, Kerberos, LDAP।

Scripting: Python (data analysis), PowerShell (Windows operation), Bash (Linux operation)। Pandas, NumPy, scikit-learn — data science library।

Query Language: SQL, SPL (Splunk), KQL (Microsoft Kusto), EQL (Elastic Event Query Language)।

Forensic Analysis: memory analysis (Volatility), disk forensics (Autopsy, FTK), log analysis।

Critical Thinking: hypothesis তৈরি এবং test করার দক্ষতা, bias-free analysis।

২০২০ সালের SolarWinds Sunburst incident threat hunting-এর গুরুত্ব নাটকীয়ভাবে প্রমাণ করেছিল। FireEye-এর internal red team activity-এর সময় নিজস্ব tool-এর unauthorized use detect করার পর, full investigation থেকে বিশ্ব জানল যে SolarWinds Orion update channel compromised এবং বহু Fortune 500 এবং US government agency affected।

Hunting community থেকে দ্রুত published IoC এবং Sigma rule অনুসরণ করে অনেক organization তাদের network-এ Sunburst presence verify বা rule out করেছে। SolarWinds.Orion.Core.BusinessLayer.dll-এর modified version, sunburst-related domain (avsvmcloud.com), এবং specific Cobalt Strike beacon configuration — সব hunting query-এর target ছিল।

এই case তিনটি key lesson শিখিয়েছে — supply chain attack vector এর গুরুত্ব, dwell time-এর দীর্ঘতা, এবং community-driven intelligence sharing-এর শক্তি।

Effective threat hunting program build করতে strategic step প্রয়োজন।

Executive Buy-In: Threat hunting-এর immediate ROI quantify করা কঠিন। But long-term security posture-এ এর contribution অপরিসীম। CISO-কে board-এ এই value articulate করতে হবে।

Team Structure: Dedicated threat hunting team বা SOC-এর Tier 3 analyst-দের সাথে integrate। Junior analyst-দের নিয়মিত hunting exercise-এ participate করানো skill development-এর জন্য।

Playbook Development: প্রতিটি ATT&CK technique-এর জন্য hunting playbook লেখা — query, expected output, false positive criteria, escalation path।

Continuous Improvement: হান্ট থেকে discovered TTP detection rule-এ convert করা। Sigma rule formal release করা।

Purple Team Exercise: Red team simulate করবে adversary technique, blue team hunt করবে — এই rhythm-এ detection capability validate এবং improve।

Threat Intelligence Subscription: কমপক্ষে দু-একটি reliable TI feed integrate করা।

Data Quality Investment: Sysmon proper config, EDR full coverage, network monitoring at strategic points।

Metrics and Reporting: Hunt frequency, technique coverage, dwell time reduction, true positive count — এসব metric track করা।