1.1IP地址
在威胁情报中,IP地址扮演着关键的角色。通过分析和监测恶意活动,安全专业人员可以识别出与威胁相关的恶意IP地址。这些IP地址可能属于恶意软件的命令和控制服务器,或者是发起网络攻击的来源。
当安全团队掌握了恶意IP地址,可以执行以下操作:
阻止访问:将恶意IP地址添加到防火墙、入侵检测系统(IDS)或入侵防御系统(IPS)的黑名单中,以阻止与这些地址的通信。
进行溯源:通过反向查询(reverse lookup)和Whois查找工具等,获取与恶意IP地址相关联的域名、拥有者信息和注册信息,从而追溯威胁的来源。
共享情报:将恶意IP地址和相关信息分享给其他安全团队、威胁情报平台或社区,以便其他组织也能采取相应的防护措施。
进行分析:根据恶意IP地址的行为和特征,进行进一步的分析和研究,以了解攻击者的意图、模式和技术,从而加强整体的安全防护能力。
需要指出的是,威胁情报中的IP地址可能是暂时的、易更换的或伪装的。因此,在使用这些信息时,需要结合其他上下文和数据进行分析,避免误判和误导
1.2域名
在威胁情报中,域名也是一个重要的信息元素。恶意域名常常与网络攻击、钓鱼活动、恶意软件传播等安全威胁相关。
以下是一些关于威胁情报中域名的常见处理方式:
域名黑名单:将已知的恶意域名添加到黑名单中,以阻止用户访问这些恶意网站。这可以通过防火墙、网络安全产品或代理服务器等进行实现。
WHOIS查询:通过WHOIS查询工具,了解恶意域名的注册人信息、注册时间和注册人联系方式等。这有助于确定域名是否存在可疑行为,并提供线索用于进一步调查。
域名监测:定期监测特定域名的活动,包括DNS解析记录、IP地址变更、SSL证书更新等。这可以帮助发现域名更换或重新配置的迹象,以及可能的恶意活动。
威胁情报共享:将恶意域名和相关信息共享给其他组织、安全社区或威胁情报平台。这种信息共享可以帮助其他人员加强对恶意域名的防护措施,并共同应对潜在的网络威胁。
反向工程:对恶意域名进行反向工程分析,包括查找域名解析的IP地址、查找域名所有者和注册信息、分析域名服务器等。这有助于揭示恶意活动的来源和更广泛的威胁网络。
1.3文件md5
在威胁情报中,MD5(Message Digest Algorithm 5)哈希值被广泛用于识别文件的唯一性和完整性。MD5是一种常用的哈希算法,将任意长度的数据映射为128位的哈希值。
以下是关于威胁情报中文件MD5的常见处理方式:
文件完整性校验:通过计算文件的MD5哈希值,可以验证文件是否在传输或存储过程中被篡改。接收方可以重新计算文件的MD5哈希值并与原始值进行比对,从而判断文件是否完整。
恶意软件识别:恶意软件样本通常会被分析,并计算其MD5哈希值。通过将这些MD5哈希值与已知恶意软件的数据库进行比对,可以快速识别和阻止潜在的恶意文件。
特征匹配:威胁情报中的MD5哈希值可以与其他事件或攻击相关的MD5哈希值进行比对。这有助于发现与特定组织、活动或威胁行为相关的文件。
威胁情报共享:共享具有恶意属性的文件的MD5哈希值,可以帮助其他安全团队和社区加强对这些文件的防护和检测能力。
需要注意的是,MD5哈希算法在某些情况下存在碰撞漏洞,因此在使用MD5哈希值进行安全判断时,应结合其他措施,并考虑使用更安全的哈希算法,如SHA-256。此外,合法软件和文件也可能具有相同的MD5哈希值,因此只依靠MD5哈希值无法对文件类型做出确定性判断。
1.4文件路径
在威胁情报中,文件路径是指文件在计算机系统或网络中的位置信息。它在处理威胁情报时具有以下常见的用途:
恶意文件分析:威胁情报分析师可以使用文件路径来确定恶意文件在受感染系统或网络中的位置。这有助于了解攻击者的目标和传播方式,以及受影响的系统或应用程序。
恶意软件检测:通过分析恶意软件样本的文件路径,可以确定其在受感染系统中的存储位置和传播方式。这有助于构建针对特定恶意软件的防御措施,包括查找和清理相关的文件路径。
恶意活动追踪:通过跟踪恶意文件的路径,可以识别攻击者在系统中的行动轨迹。这有助于了解攻击者的行为模式、其所用的工具和技术,以及可能的下一步行动。
防御措施配置:根据威胁情报中的文件路径信息,系统管理员可以及时采取必要的防御措施,如封锁恶意文件的路径、禁止可疑文件的执行等,以减少潜在风险。
需要注意的是,威胁情报中的文件路径可能是受感染系统的本地路径,也可能是网络共享路径或URL。分析人员在使用时应将其与其他威胁情报数据综合考虑
1.5注册表项
在威胁情报中,注册表项是指Windows操作系统中的注册表数据库中的记录。注册表是用于存储系统配置信息、应用程序设置和操作系统组件的层次结构数据库。
在处理威胁情报时,注册表项具有以下常见的用途:
恶意活动检测:恶意软件常常会修改注册表项以实现其恶意目的,比如自启动、持久性感染、隐藏等。通过分析威胁情报中的注册表项,安全团队可以识别和检测与特定恶意软件相关的注册表修改,从而及早发现和阻止潜在的威胁。
恶意软件分析:恶意软件样本的恶意行为常常包括对注册表项的读取、写入和修改。通过分析威胁情报中的注册表项,可以深入了解恶意软件的功能、行为模式和攻击技术,为后续的防御和对抗提供参考。
攻击溯源:通过跟踪受攻击系统中被修改或创建的注册表项,可以追溯攻击者的操作和行动轨迹。这有助于了解攻击的起源、攻击者的意图和后续可能的活动。
防御和修复:威胁情报中的注册表项信息可以帮助系统管理员和安全团队及时采取必要的防御措施,如检测和清理恶意注册表项、禁止恶意修改等。同时,它也可以指导修复被攻击系统的注册表设置,以恢复正常功能和保护系统安全。
2.威胁情报定义及分类
2.1定义
威胁情报旨在为面临威胁的资产主体(通常为资产所属企业或机构)提供全面的、准确的、与其相关的、并且能够执行和决策的知识和信息。
2.2分类
2.2.1. 战略威胁情报
战略威胁情报(Strategic Threat Intelligence)提供一个全局视角看待威胁环境和业务问题,它的目的是告知执行董事会和高层人员的决策。战略威胁情报通常不涉及技术性情报,主要涵盖诸如网络攻击活动的财务影响、攻击趋势以及可能影响高层商业决策的领域。
2.2.2. 运营威胁情报
运营威胁情报(Operational Threat Intelligence)与具体的、即将发生的或预计发生的攻击有关。它帮助高级安全人员预测何时何地会发生攻击,并进行针对性的防御。
2.2.3. 战术威胁情报
战术威胁情报(Tactical Threat Intelligence)关注于攻击者的TTP,其与针对特定行业或地理区域范围的攻击者使用的特定攻击向量有关。并且由类似应急响应人员确保面对此类威胁攻击准备好相应的响应和行动策略。
2.2.4. 技术威胁情报
技术威胁情报(Technical Threat Intelligence)主要是失陷标识,可以自动识别和阻断恶意攻击行为。
2.3 收集
威胁情报收集从来源上包含如下渠道:
企业内部网络、终端和部署的安全设备产生的日志数据;
订阅的安全厂商、行业组织产生的威胁数据
新闻网站、博客、论坛、社交网络
一些较为封闭的来源,如暗网,地下论坛
2.4. 分析
分析环节是由人结合相关分析工具和方法提取多种维度数据中涵盖的信息,并形成准确而有意义的知识,并用于后续步骤的过程。
常用的威胁情报分析方法和模型包括Lockheed Martin的Cyber Kill Chain,钻石分析法,MITRE ATT&CK。
2.5标准
2.5.1网络安全威胁信息格式规范
国家标准化管理委员会于2018年10月10日发布了《信息安全技术 网络安全威胁信息格式规范》 [1] ,其主要定义了网络安全威胁信息模型和网络安全威胁信息组件及其格式。
2.5.2STIX
Structured Threat Information eXpression (STIX),结构化的威胁信息表达,当前为2.0版本,主要定义了威胁对象和关系。
2.5.3TAXII
Trusted Automated eXchange of Indicator Information (TAXII),定义了一个应用层协议用于威胁指标信息交换。
2.5.4CybOX
Cyber Observable eXpression (CybOX),网络指示器表达,定义了包括域名、IP、文件、证书、网络连接等。CybOX后续整合到STIX 2.0中。
2.5.5MAEC
Malware Attribute Enumeration and Characterization (MAEC),专门用于对恶意代码属性的枚举和特征。
3.国内外威胁情报产品
3.1国内威胁情报产品
-
360威胁情报平台:https://ti.360.com/
-
绿盟威胁情报平台:https://ntip.nsfocus.com/#/
-
venuseye威胁情报平台:https://www.venuseye.com.cn/
-
安恒威胁情报平台:https://www.dbappsecurity.com.cn/solution/threat_intelligence.html
-
微步威胁情报平台:https://x.threatbook.com/
-
天际友盟RedQueen安全智能服务平台:https://redqueen.tj-un.com/IntelHome.html
-
奇安信威胁情报中心:https://ti.qianxin.com/
-
安天威胁情报中心:https://www.antiycloud.com/
-
腾讯安全威胁情报中心:https://tix.qq.com/?ADTAG=cloud_tencent
-
飞蝶威胁情报平台:https://www.flyaios.cn/
-
网络安全态势感知中心(NSFOCUS):https://nti.nsfocus.com/apt/home
-
华为安全威胁情报与安全定制服务(HSTS):https://isecurity.huawei.com/sec/web/intelligencePortal.do
-
深信服安全中心:https://sec.sangfor.com.cn/security-vulnerability
-
烽火台安全威胁情报联盟:http://www.x-cti.org/
-
知道创宇zoomeye平台:https://www.zoomeye.org/
-
知道创宇Seebug平台:https://www.seebug.org/
-
白帽汇fofa平台:https://fofa.so/
3.2国外威胁情报产品
-
IBM X-Force:https://exchange.xforce.ibmcloud.com/
-
Virus Total:https://www.virustotal.com/gui/home/upload
-
SANS互联网风暴中心:https://isc.sans.edu/
-
Threatcrowd开源威胁情报:https://www.threatcrowd.org/
-
threatMiner:https://www.threatminer.org/
-
GreyNoise:https://www.greynoise.io/
-
FortiGuard:https://www.fortinet.com/cn/fortiguard/labs
3.3开源威胁情报平台
-
MISP(Malware Information Sharing Platform):一个用于共享、存储和分析威胁情报的开源平台。https://www.misp-project.org/
-
TheHive:一个用于协作威胁情报分析和响应的开源安全事件响应平台。https://thehive-project.org/
-
OpenCTI(Open Cyber Threat Intelligence):一个用于处理和分析威胁情报的开源平台,提供了丰富的数据模型和工具集。https://www.opencti.io/
-
CRITs(Collaborative Research Into Threats):一个用于收集、存储和分析威胁情报的开源平台。https://crits.github.io/
-
CIF(Collective Intelligence Framework):一个用于共享、存储和分析网络威胁情报的开源工具。https://csirtgadgets.org/
4.漏洞库
-
National Vulnerability Database (NVD):由美国国家漏洞数据库(NVD)维护的全球最大的公开漏洞数据库。它提供了针对软件和硬件的漏洞信息,包括漏洞描述、评分、参考链接等。官网:https://nvd.nist.gov/
-
Exploit Database (EDB):一个面向安全专业人员的漏洞利用数据库,收集了各种软件和系统的漏洞利用代码、Poc (Proof of Concept)、Exp (Exploit) 等。它是Metasploit项目的一部分。官网:https://www.exploit-db.com/
-
CNNVD(中国国家信息安全漏洞库):由中国国家信息安全漏洞库维护的官方漏洞数据库。该数据库收录了国内外软件、硬件的漏洞信息,以及相关修补程序和建议。官网:http://www.cnnvd.org.cn/
-
Vulners:一个集成了全球各种漏洞信息的综合性漏洞数据库,包括公开漏洞、厂商公告、安全新闻等。它提供了强大的搜索和查询功能。官网:https://vulners.com/
-
SecurityFocus:一个面向安全专业人员的综合性安全信息平台,其中包括漏洞数据库。它提供了广泛的安全资讯、漏洞报告、安全工具和资源。官网:https://www.securityfocus.com/
-
Packet Storm Security:一个综合性的网络安全资源平台,其中包括漏洞数据库。它收集了大量的漏洞报告、安全工具、白皮书等。官网:https://packetstormsecurity.com/
4.情报收集工具
4.1OSINT(开放源情报)工具:
-
TheHarvester:用于收集电子邮件地址、域名和子域名等信息的开源工具。 https://github.com/laramies/theHarvester
-
Shodan:用于搜索设备和服务的信息,如开放端口、漏洞等。https://www.shodan.io/
-
Maltego:用于进行关联分析和数据可视化,帮助发现目标的相关信息。https://www.maltego.com/
-
SpiderFoot:用于自动化数据收集和情报搜集的开源工具。https://www.spiderfoot.net/
-
Recon-ng:用于进行网络侦察和信息收集的开源工具。https://github.com/lanmaster53/recon-ng
4.2社交媒体情报搜集工具:
-
Echosec:用于在社交媒体平台上搜索和监测特定关键词或地理位置的信息。https://www.echosec.net/
-
Geofeedia:用于地理位置情报的监测和分析工具。[Geofeedia被关闭]
-
Hootsuite:用于管理和监测多个社交媒体账户的工具,可用于搜索关键词和话题。https://hootsuite.com/
4.3漏洞情报搜集工具:
-
Exploit Database:提供漏洞和安全信息的公共数据库。https://www.exploit-db.com/
-
CVE(Common Vulnerabilities and Exposures)数据库:提供公开已知漏洞的标准化列表。https://cve.mitre.org/
4.4云端情报搜集工具:
-
Recorded Future:提供实时情报和威胁情报分析的云端平台。https://www.recordedfuture.com/
-
CybelAngel:监测和保护组织的数字资产,并提供实时威胁情报。https://cybelangel.com/
4.4搜索引擎和网络监测工具:
-
Google搜索引擎:用于搜索公开信息和非保密信息。https://www.google.com/
-
Wayback Machine:提供互联网存档的搜索服务,用于查看历史网页。https://archive.org/web/
5.漏洞评分标准
漏洞评分标准通常是根据漏洞的严重性、影响范围和可能性来确定的。以下是几个常用的漏洞评分标准:
-
CVSS(Common Vulnerability Scoring System):CVSS 是一个广泛使用的漏洞评分系统,它基于一系列指标对漏洞进行评估,包括漏洞的攻击向量、攻击复杂度、影响范围、机密性、完整性和可用性等方面。CVSS 将这些指标组合起来,生成一个分数来表示漏洞的严重性。分数通常在0到10之间,越高表示漏洞越严重。
-
CWE(Common Weakness Enumeration):CWE 是一种用于对软件中常见弱点进行分类和描述的标准,漏洞评分可以基于 CWE 分类来确定。CWE 包含了多个软件安全弱点,并提供了关于这些弱点的详细信息、示例代码和建议解决方案。根据具体的漏洞所属的 CWE 类型,可以评估其严重性和潜在风险。
-
OWASP(Open Web Application Security Project):OWASP 提供了很多关于 Web 应用程序安全的资源和参考,其中包括常见的漏洞分类和评估标准。OWASP Top 10 是一个常用的漏洞评估标准,它列出了最常见的 Web 应用程序安全风险,如跨站脚本攻击(XSS)、SQL 注入、跨站请求伪造(CSRF)等。
-
等级分类:除了以上标准外,有些组织也会根据漏洞的严重程度将其划分为不同的等级或级别。例如,将漏洞分为高、中、低三个等级,根据漏洞对系统的潜在威胁和影响来确定其所属等级
原文始发于微信公众号(小兵搞安全):威胁情报相关知识扫盲
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论