本文将包括威胁情报的概念以及介绍一些有用的开源情报工具,全文概述如下:
- 理解威胁情报是什么,以及它们有什么分类
- UrlScan.io 工具:用于扫描恶意URL
- Abuse.ch 工具:追踪恶意软件与僵尸网络
- PhishTool 工具:调查钓鱼邮件
- 思科 Talos 平台:搜集情报
威胁情报
威胁情报是一种基于证据的知识,包括了情境、机制、指标、隐含和实际可行的建议。威胁情报描述了现存的、或者是即将出现针对资产的威胁或危险,并可以用于通知主体针对相关威胁或危险采取某种响应。
为了降低风险,可以从以下几个问题入手:
- 谁在攻击?
- 他们的动机是什么?
- 他们有什么能力?
- 我们需要关注哪些人为痕迹与入侵指标(IOC)?
威胁情报也旨在让我们了解环境与入侵者之间的关系,鉴于此,可以将威胁情报分为以下几类:
- 战略威胁情报(Strategic Intel):根据可能影响业务决策的趋势、模式和新威胁,对组织的威胁情况进行研究并绘制出风险区域图的高级情报。战略威胁情报提供的是全局视角,帮助决策者把握当前安全态势。
- 技术威胁情报(Technical Intel):调查攻击者的攻击证据及留下的痕迹,也可被称为IOC。技术威胁情报是特定恶意软件的指标(Hash、域名、IP),是用于机读的可以用于自动化检测、分析的信息。
- 战术威胁情报(Tactical Intel):攻击者的战术、技术和策略(Tactics, Techniques and Procedures, TTPs)。战术威胁情报是人读的,可以提供给安全负责人用于防御、告警,并在被攻击之后调查使用。
- 运营威胁情报(Operational Intel):攻击者实施攻击的具体动机和意图。运营威胁情报一般在事前,可利用它进行预防和主动检测。
一些有用的威胁情报工具
UrlScan.io
链接:URL and website scanner - urlscan.io
用途:扫描与分析页面
Abuse.ch
链接:abuse.ch | Fighting malware and botnets
用途:识别和跟踪恶意软件和僵尸网络
常用项目:
- Malware Bazaar:恶意软件样本共享平台
- Feodo Tracker:提供与Dridex、Emotet、Trickbot、QakBot 和 BazarLoader 相关的僵尸网络C2服务器的阻止列表
- SSL Blacklist:识别僵尸网络C2服务器使用的SSL证书,检测恶意SSL连接;识别JA3指纹,帮助检测和组织TCP层上的恶意软件僵尸网络C2通信
- URLhaus:共享被用于传播恶意软件的恶意URL
- ThreatFox:共享与恶意软件相关的IOC
PhishTool
链接:PhishTool
用途:提供逆向钓鱼邮件的能力,防御钓鱼邮件
Cisco Talos 情报平台
链接:Cisco Talos Intelligence Group - Comprehensive Threat Intelligence
用途:思科从产品中搜集的数据提供可操作的情报、可见的指标以及对新威胁的防护。
练习场景
你是一名SOC analyst,同事给你转发了几条可疑邮件,其中一条的内容如下:
从图中可以得知邮件的发送方和接收方的地址,并发现有一个附件,那么首先就对这个附件进行分析。在这里,我们使用 VirusTotal 平台进行分析,这个平台可以分析可疑文件、域、IP和URL来检测恶意软件和其他漏洞,并且可以自动与社区共享。
将附件保存至桌面,由于练习场景无法与外网互通,因此不能直接访问该网站并将附件上传上去。但是我们发现平台可以通过文件哈希值进行搜索,那么我们就通过 sha256sum + 文件名 获取文件哈希值之后,再进行搜索。
搜索结果如下:
这个附件妥妥的恶意软件,这样我们识别出了一起钓鱼邮件攻击。
通过扫描结果,我们可以从中得知这个恶意软件的别名、威胁种类以及所属家族等,这样能够更好地去理解这个恶意软件,从而提高防范。
