威胁情报这个概念,自从2014年Gartner提出以后,安全圈就一直在提这个概念,也一直尝试应用这个技术来做一些文章,无论是加在各家的安全产品上做一些对撞,还是自己保留数据库存一些黑产数据,都取得了一些效果。
但每每提到威胁情报,我们普通人观之,就像吃饭扫过米其林、满汉全席、景区的茶叶蛋(误)一样,好像平时接触不到,偶尔想要用也要付出很大的成本。很多人懂web安全,懂渗透测试,懂流程,但是提到威胁情报,总觉得离自己很远,几乎不会用到。
图1. 皇帝的新衣
所以今天笔者想聊一聊,当我们谈论威胁情报的时候,我们到底在聊什么。
威胁情报的定义是什么呢?最早的援引应该是Gartner在2014年发表的《安全威胁情报服务市场指南》中提出的定义,即:
威胁情报是关于IT或信息资产所面临的现有或潜在威胁的循证知识,包括情境、机制、指标、推论与可行建议,这些知识可为威胁响应提供决策依据。
仔细看Gartner的定义,其实定义得很全面。但是普通人容易看得云里雾里,就像课本里的各种哲学定义,每个字都能看懂,但是一连起来可能就看不懂了。
图2. 《潜伏》也是笔者特别喜欢的一部剧
所以,我们谈情报,其本质还是用于对抗,只不过军事情报用于两军的对抗。而威胁情报是对抗谁呢?可能就是攻击者、黑产、安全漏洞等敌人了。
情报的重要性毋庸置疑。不知大家是否了解中途岛海战的历史,早在珍珠港海战之前,日本军令部派往珍珠港的间谍达200多名,其中最关键的人物是海军情报专家、海军预备役少尉军官吉川猛夫。他以日本驻檀香山领事馆工作人员“森村正”的假身份来到夏威夷。在察觉到美军监视解除后,吉川立即着手开展情报工作,他通过各种途径刺探情报,甚至跳到海里,游到军舰附近刺探情报。7个月后,以吉川猛夫为代表的日本间谍获得了包括珍珠港停泊舰艇数量、类型、位置、时段等全部情况,还有机场、飞机、驻军、防卫等其他详细信息。在偷袭之前,日军已将珍珠港内的情况全面掌握。1941年12月7日,日军袭击珍珠港,致使太平洋舰队遭受重创。
珍珠港事件后,美军吸取了珍珠港失利的教训,意识到对情报的忽视是失败的根源,空前重视情报工作。在新上任的太平洋舰队司令尼米兹的支持下,情报主管莱顿带领情报小组夜以继日分析破译日本电文。
图3. 《决战中途岛》也是笔者特别喜欢的一部电影
可见,即使在实力悬殊的两军中,谁先掌握情报,谁就能决定战争的主动权。
图4. 失陷指标层级
图5. <震惊,这才是亚索无缝e兵.exe>文件
你本想学点技术带妹,结果打开之后发现电脑文件全部啪地一下被加密了,很快啊, 需要支付赎金才可以解锁。那么当其他人收到同样的文件时,就可以将文件Hash与你收到的文件进行比对。一旦相同,就可以识别为恶意文件,从而避免财产损失,那么这个文件的Hash,就是图4中最底层的情报,也是最容易获取的文件特征威胁情报。
图6. X社区帮你出头
图7. 其他用户可以实时看到该IP的恶意情况
除了这些,我们拿到些情报,还可以怎么用呢?
比如,我被一个IP攻击了,如果另一个人也同样被该IP访问了,那么就可以发现该IP的攻击行为。就像一个罪犯在洛圣都做了坏事,洛圣都给他打上了标签,那么他去纽约也会被通缉 (此处无作弊码彩蛋)。这是威胁情报被用作攻击证据的例子。
图8. 其实是学安全学的
图9. 黑客攻击(物理)
前面讲了很多概念,就像我前面所言,大家有可能会听得云里雾里。虽然不是我本意。
威胁情报在企业安全中,已经有很多成熟的应用了,包括我司的TDP、TIP等,都可以做到实时流量与我们的情报库的碰撞,从而帮企业发现威胁。这时候就有读者要问了,难道威胁情报只能结合产品使用,只能给企业做安全防护吗?答案:当然不是!
下面我将用一则小例子给大家讲解一下,我们个人用户怎么使用威胁情报来降低自身被攻击的风险。
俗话说的好,杀鸡焉用牛刀。但是你说牛刀可以杀鸡么,当然也可以杀。正所谓大有大的好,小有小的坏,胜者通吃,败者食尘。
威胁情报既然可以在大规模的企业流量中发现威胁, 我们普通人也可以结合威胁情报,做一些事情。
比如,我们在生活中可能会遇到这些情况:收到各种钓鱼短信;各种中大奖链接让你点进去输入账号密码领取;手机丢失后又被其他人异地登录;强行让你找回qq账号,输入密码等等。
因为笔者常年非洲人,所以默认各位读者的脸应该和笔者一样黑,突然中奖这种好事发生的概率大概比 gakki 突然对你表白的概率大不了多少。所以很多信息我们可以轻易判断是钓鱼的。
图10. 钓鱼短信示例
乍一看还挺正常的,但对于有公司的用户可能存在一定的风险,点进去注册自己的公司从而中招。什么?!读者们都是打工人,没有自己的公司? 那没事了。(大雾)
图11. 钓鱼伪装成正常页面
图12. 银行卡号页面
随后就是熟悉的剧情:输入银行卡号、账户密码,银行卡被盗刷,摩托变单车。
很多事情我们可能并不能理解,就像没有上当的人理解不了被钓鱼的受害者为什么这么不小心一样,但其实只要感同身受,多设身处地地想一想,也许很多事情也没那么难理解。
单单从域名本身 dzgli.cn 来看,确实不像是钓鱼,也很像一个什么机构的简称。同时短信的内容也很以假乱真,难以分辨。最后点进去的界面也不是粗制滥造的钓鱼界面,而是精心构造的十分仿真的界面,导致这个域名确实很难分辨。
这时读者可能就要问了,难道没有其他方式,能让我们判断这是不是钓鱼吗?
当然不是!这时我们就可以借助威胁情报的力量了。
对于威胁情报最基础的证据无非是域名、IP、历史解析IP。更高阶一点的是注册者、注册邮箱等。
我们结合 dzgli.cn 这个钓鱼域名进行详细分析:
图13. 情报库查询
由于是X社区的帖子,所以X社区已经有判定结果了。当然我们可以忽略这个结果,我们这次尝试靠自己的分析来得出这个域名是不是钓鱼的结论。
图14. 域名IP查询
这里可以看到共有98个域名解析到这个地址。这是第一个需要怀疑的点,一个正常的工商类型的域名,解析IP不应该同时被这么多域名解析,按照常理正常的服务器应该只提供单个网站的功能,被这么多域名解析,必有蹊跷!
图15. 域名解析
我截取了部分解析到该IP的域名。
相信有经验的安全从业者已经看出来了。像这种纯数字的域名,一般出现在博彩类网站中,如果是正常的政府类,是不会存在类似的域名解析的。
图16. 域名注册人
可以很明显的看出来,是个人用户注册的。
这方面大家需要注意,正常的公司网站,或者政府网站,都是使用 xxxx 公司为注册者的,就算是使用个人姓名注册,注册邮箱也会是企业邮箱,而不是qq邮箱。
图17. 钓鱼网站邮箱其他注册网址
可以看到,在注册的其他网站中还有试图仿冒12315的域名。到这里基本可以确定,这个网站并不是真实的企业注册登记网站。
图18. 谷歌搜索该域名
可以看到微博上已经有受害者上当受骗的相关新闻了。只可惜受骗的人没有提前看到我们的文章,没有学到我们的方法。
不知道通过这个钓鱼的例子,大家了解到应该怎么使用威胁情报,去查询生活中遇到的各种域名了吗?
结合上面的例子,似乎可以总结一些规律。
第一种,可以看一下域名本身是否看起来就像钓鱼:
类似 bankline.xn--ita-70a.com 这种看起来就就不像正常银行能够取出来的名字的。
类似 www.office.com.office.uce.batman.myshn.net 这种把office放在前面,但是实际主域名跟office扯不上边的。
第三就是我们的杀手锏,也是比较比较准确的判断方式。
图20. whois信息
注册者是北京微步在线科技有限公司,注册邮箱也是正常的threatbook.cn 。
图21. 仿冒域名注册信息查询
注册者为个人用户,邮箱也没有填写,那么假如这个网站邀请输入账号密码,就可以判定是钓鱼网站。
图22. 判断钓鱼的一些基本方法
多种维度判断,基本上可以对网站是否属于钓鱼网站,做到心中有数。
当然,笔者只是用钓鱼网站作为例子向大家解释一下威胁情报该怎么用。如果只用威胁情报来判断是否是钓鱼就有些大材小用了。
实际情况中,判断是否是恶意软件、远控软件、黑灰产、失陷域名、博彩色情类网站等都有威胁情报的身影(当然不是让各位表哥用情报去找博彩色情网站)。
很多时候评估情报,仅仅依赖一家的威胁情报引擎,可能信息获取的并不全面。如果能够多个情报评估引擎一起进行评估,可能看的信息更全面一些。
这里介绍几个分析威胁情报时比较常用的分析工具。
1. X社区 (https://x.threatbook.cn)
威胁情报共享平台,涵盖域名、IP、Hash等各类情报。旗下沙箱可以进行多引擎判断样本(笔者今晚的鸡腿保住了)。
分析域名时查一下历史解析和Whois当前及历史Whois信息比较有用。比较特色的是情报功能,很多恶意IOC可以直接在上面查出来,免去自己分析的必要。
另外一点就是,有很多活跃的社区用户贡献者协助进行情报的判断,如果一个网站已经是恶意的情况,随手点击的社区用户标签,可以做到第一时间对网站的性质有一个大致的了解,免去繁杂的分析步骤。
2. Virustotal (www.virustotal.com)
大名鼎鼎的VT,相信很多安全从业人员应该知道这个网站。
同样有历史pdns数据查看功能。以及查看域名相关连接的恶意样本,域名当前Whois信息,比较可惜的是由于假设在境外,国内用户的访问速度不理想,同时对于英语不好的同学也不是很友好。
可以与X社区一起作为查询网站相关信息的辅助。
3. CuteStat (cutestat.com)
可以查看页面的历史记录,对于一些已经失效了的页面,可能打不开,无法判断是否是恶意域名。可以来这个网站查一下要查的域名的历史页面,可能会有意想不到的收获。比如,某些域名历史是博彩网站,当前失效了,直接查看历史的页面就比较方便,省去很多判断流程。
4. multirbl.valli.org
可以查询IP是否在各大DNS BL的黑名单上。
什么是DNS BL呢?就是说很多网站会收集网络中攻击过别人的IP, 给这些IP打上恶意的标签, 从而不让用户通过DNS解析这些IP。有时候不好判断IP是否是恶意,这个IP在不在DNS BL的黑名单可以作为一种参考。大部分正常的IP不会出现在DNS BL列表中。
5. Alienvault (alienvault.com)
6. RISKIQ社区 (riskiq.com)
RISKIQ社区数据做的比较全,基本上基于一个域名或者IP,你能想到的相关信息都涵盖了,可惜数据虽然多但不是都有用,需要搜索者自己有判断信息的能力,否则可能沦陷到海量的信息中不知道该用什么。
主要讲究的是大而全,甚至连一个域名内的内链、外链是否在其他网站中出现过等相关资料都有。优点在于资料多,缺点也在于资料多,信息多反而想要获取有用的信息变得比较难。对于域名的子域名、证书、域名下内容模块等方面做的比较好,可以作为参考。
当然,威胁情报对于我们的作用远远不只是去识别一些钓鱼这样简单。笔者只是抛砖引玉,借钓鱼这一个例子引出我们平时生活中还可以怎样用威胁情报。
对于更高阶的安全从业人员来说,可以结合威胁情报,对红队人员进行针对性溯源。
对于企业的运维人员来说,可以结合流量日志,对IP信誉进行碰撞,发现隐藏的攻击IP。
对于红队人员来说,可以结合威胁情报搜索攻击资产,从而不必使用目录爆破方式进行批量的爆破,费时费力(有的子目录的名字不好猜,通过爆破目录工具也拿不到)。
对于女生来说,可以使用情报对男朋友进行溯源。
对于当前的企业形势来说,炒的火热的态势感知、威胁可视化,其实更多依据的是情报的准确与否,而不是大屏幕大图做的有多好看,有多炫酷。内网已经失陷了,仍然一片祥和的大图还是有的。
所以在企业建设中其实应该更加注重情报的准确率,不然只是一幅好看的图,放在控制中心的大屏幕上,对企业的安全防护没有任何帮助。
这样的做法或许在电视剧里可行,而在现实中更多的是难看的数据,需要一步步解码分析、过滤,最后提取其中真正可以处理的威胁。
笔者也是威胁情报领域一个刚刚入门的小白,在实际工作中发现,情报这个领域实在是太大了,就像苏格拉底的圆圈一样,圆圈越大,周长接触的威胁情报的领域越深,越会发现未知的东西越多。但是只要不怕真理无穷,进一寸有进一寸的欢喜,让自己满意就好(实在不行还可以加入美团骑手打工)。
以上,就是笔者今天带来的威胁情报的一些看法和应用,希望之后能带来更多有意义的分享。
https://x.threatbook.cn/nodev4/vb4/article?threatInfoID=2981
https://x.threatbook.cn/nodev4/ip/1.180.27.204
微步在线
研究响应中心
-长按二维码关注我们-
戳“阅读原文”试试
本文分享自微信公众号 - Timeline Sec(TimelineSec)。
如有侵权,请联系 support@oschina.cn 删除。
本文参与“OSC源创计划”,欢迎正在阅读的你也加入,一起分享。
来源:oschina
链接:https://my.oschina.net/u/4593034/blog/4777711