小议威胁情报feed

0x00.前言

威胁情报最近几年日趋火爆,那么它到底是什么呢以及主要应用场景在哪儿,而如何自动化的为企业提供威胁情报,以达到快速的应急响应和防范。本文接下来就主要分析威胁情报feed的收集数据、来源以及应用场景。

0x01.定义

首先来看看威胁情报广泛接受的定义:

威胁情报是基于证据的知识,包括上下文、机制、指标、隐含和可操作的建议,针对一个现存的或新兴的威胁,可用于做出相应决定的知识。—Gartner 针对安全威胁、威胁者、利用、恶意软件、漏洞和危害指标,所收集的用于评估和应用的数据集。—SANS研究院

用自己的话来说就是依托对攻击者的大量数据评估(包括漏洞库、指纹库、IP信誉库等)来为下次攻击提供的威胁防御建议。威胁情报可以帮助我们从被动安全到主动安全,即在攻击到来之前的主动防御。

而面对网络空间如此频繁的攻击和庞大的数据量,必将选择自动化分析,这就出现了威胁情报feed。

0x02.威胁情报feed数据收集

威胁情报feed是指可以将威胁情报自动化的向现有安全防护体系提供,通过现有安全体系实现对威胁的防范、响应等。

威胁情报feed收集哪些数据?

IP
IP用于提供攻击源信息,可判断是真正攻击源还是傀儡机?但是ip可以任意更换,并且更换成本低廉,因此数据价值不高。

域名
域名的改变不如ip容易,需要注册,解析等等步骤,这些数据就比ip有价值许多。

邮箱
实时分析垃圾邮件,实时黑名单技术,为各大邮件厂商更新邮件黑名单。

URL
通过收集大量恶意url,恶意url可为浏览器沙盒提供样本。

md5
分析攻击及入侵工具的hash值,定向进行防御。

网络或主机特征
使用User-Agent特征字符方式查找攻击者的HTTP探测工具,阻止其User-Agent的任何请求,增加其攻击成本。

恶意dns
提供恶意软件和恶意网站dns信息。

端口
对恶意ip进行云端的端口探测,根据端口信息情报的使用者可以对恶意ip有更全面的认识。比如可能是代理服务器或者开启了一些远程管理端口等。

0x03.威胁情报主要数据来源

blocklist.de
主要收集攻击的恶意ip。网站按攻击目标分类,比如针对ssh服务、mail服务、imap服务、ftp服务、apache服务。

openphish.com
专门提供钓鱼仿冒网站信息的一个开源站点,很聚焦。

www.malwaredomains.com
仅仅提供恶意软件DNS的信息。

spamhaus
它是一个国际性非营利组织,其主要任务是跟踪国际互联网的垃圾邮件团伙,实时黑名单技术,协助执法机构辨别,追查全世界的垃圾邮件,并游说各国政府制订有效的反垃圾邮件法案。

vxvault.net
以恶意软件为主,主要提供恶意的url及文件。通过该网站可以收集到大量的url和恶意软件样板。

0x04.威胁情报应用场景

1、安全体系建设与完善
知已知彼,百战百胜,对入侵威胁有了足够的了解,针对攻击者的战术和手段建立高效的安全体系,就能做到有的放矢。

2、攻击检测和防御
根据威胁情报样本数据库,可以生成一些检测规则,应用于入侵检测系统等。

3、安全分析及事件响应
在安全分析及事件响应中可以依赖威胁情报做到更简单、高效快速的处理。

0x05.实例:XcodeGhost威胁情报分析(类似社工)

1

分析流程:

a.收集C&C域名
C&C域名就是用来控制其他的后门的域名,command & control的简写。XcodeGhost的C&C域名,主要有3个。

http://init.icloud-analysis.com
http://init.crash-analytics.com
http://init.icloud-diagnostics.com

b.根据C&C域名查询到同IP域名
这三个c&c域名是无法访问的,我们只能根据whois查到注册人 2

c.whois反查邮箱
3

d.收集到的信息
姓名:Wang Long 邮箱:778560441@qq.com 手机:13276422520 地点:山东,济南   

0x05.参考链接

scan qrcode,share this post

Author: Wester

Read more posts by this author.


最近的文章

Roundcube v1.2.2命令执行漏洞分析

本文翻译自https://blog.ripstech.com/2016/roundcube-command-execution-via-email/ ,有部分删改。 0x00.前言 Roundcube…

Tag: Vuls AnalysisRead more


更早的文章

Google XSS Game

Challenge Address:https://xss-game.appspot.com Level 1 Title:Hello, world of XSS payload: https:…

Tag: XSSRead more
comments powered by Disqus