首先是第一手数据来源,它来自于您公司部署的蜜罐或其他产品的实时告警。如果您的公司是安全产品/服务的提供商,那么也可能获取部署在客户网络中产品所产生的恶意软件告警。
第二个重要来源是您公司业务往来的合作伙伴,所处同一经济链条或同一行业的情报总是与您公司最相关的。与合作伙伴保持密切的情报共享能够帮助我们及时收集到最有效的情报。
最后,您可以选择购买商业情报源,例如Virus Total等社区。下面我们来一起学习一下如何使用社区情报,以微步情报社区和VirusTotal为例进行说明。在您看到这篇文章的时候,社区的网页界面可能会与文章有所差异,这是很正常的。因为社区会不断优化用户交互体验。
微步情报社区是由北京微步在线科技有限公司成立运营的。写这篇文章的时候,我翻遍了微步公司官网和社区网页没有找到微步社区的官方使用手册。可能官方认为社区用户自己有能力用好吧。总之这里只能以我所了解的功能进行介绍了。(注:在使用前需要注册用户,注册免费)
微步社区提供IP、HASH、URL、漏洞编号、资产测绘语法、关键词为搜索内容进行检索的功能。并且在威胁情报搜索结果页面提供非常详细的信息展示。对本文内容来说,我们主要介绍恶意软件情报相关功能的使用和搜索。
微步社区依托微步在线云沙箱提供恶意软件情报的展示,我们可以访问微步在线云沙箱的域名:https://s.threatbook.com/。在云沙箱首页提供了HASH、URL搜索入口、高级搜索入口、文件上传入口和URL扫描入口。如下图所示:
我们可以在首页上传一个恶意软件样本,查看沙箱对它的分析结果,例如这里上传一个勒索软件的恶意样本。上传完成后,沙箱自动识别的文件的类型,我们可以选择样本的运行环境,例如操作系统版本和操作系统中OFFICE的版本。选好之后点击开始分析。
点击开始分析后,会跳转到样本分析报告界面,稍等片刻后就可以看到分析结果。
微步云沙箱非常优秀的地方就是他会展示样本命中的异常行为,以及相关的TTP。
微步云沙箱还会展示多个杀毒厂商针对该恶意样本的扫描结果,可以看到我们上传的样本被16个杀毒厂商识别为恶意。
如果你需要针对样本编写静态的检测规则,还可以关注静态分析这里的内容。例如程序的导入导出表和字符串
在动态分析章节我们可以获取样本运行过程中发生的网络行为、释放文件内容。如果恶意样本请求了微步社区已知的恶意IP或恶意域名,会在下方进行标识。
我们除了可以上传文件进行分析外,还可以利用沙箱首页提供的搜索功能获取恶意软件情报。当然,普通用户的查询次数和查询结果都是受限制的。想要获取大量情报还需要购买商业版的用户。下面我们来看一下如何使用沙箱的高级搜索功能。
点击首页的高级搜索功能,我们可以看到高级搜索可以查询的条件,例如这里设置病毒名为CobaltStrike。点击搜索,
点击搜索后,我们就可以得到20条符合搜索条件的结果。需要获取恶意软件的行为特征、静态特征都可以点击详情进行查看。
除了微步社区,VirusTotal是更被安全从业人员熟知的情报社区。VirusTotal是由西班牙网络安全公司Hispasec Sistemas在2004年开发的Web应用,提供免费的文件、URL检测服务。在2012年Google公司收购了Hispasec Sistemas。因此现在VirusTotal属于Google旗下的产品。大名鼎鼎的yara引擎也来自VirusTotal。
VirusTotal的使用与微步云沙箱类似,我们同样可以在首页上传恶意样本进行检测。我们可以在不用的标签页下查看到程序的杀毒引擎扫描信息、静态信息、行为分析结果和社区评论。
VirusTotal提供了官方文档供新用户学习,按官方文档记载,VirtusTotal是没有像微步云沙箱那样的高级搜索功能的。因此我们只能搜索HASH、IP、URL信息。
除了微步云沙箱、VirusTotal这两个平台外,还有其他优秀的网站供你获取恶意软件情报,这里仅提供链接地址,请读者自行学习使用方法。
MalwareBazaar: https://bazaar.abuse.ch/
Joe Sandbox: https://www.joesandbox.com/
Threat Encyclopedia: https://www.trendmicro.com/vinfo/us/threat-encyclopedia/
原文始发于微信公众号(Desync InfoSec):第九课 收集威胁情报数据源——恶意软件(二)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论