使用威胁情报追踪攻击者——Part 1 威胁情报的另类分类

对不起食言了,之前说好了由于某些不可抗力的众所周知的原因,导致这一段时间没法发文章了。但是由于今天分析日志的时候看花了眼,然后再看了一下昨天晚上在被窝里写的,觉得还是可以发出来滴。趁着女朋友正在跟丈母娘打电话,排了个版,然后更新出来了。

事情是这样的,之前有很多朋友留言和私聊问我你搞威胁情报这么长时间了(说来惭愧,接触威胁情报到现在可能连一年半的时间也没有,而真正开始搞得时候是我从信息安全部到企业安全这边来之后),有没有什么好用的姿势来让威胁情报真真正正的为企业安全发挥点作用。我个人觉得吧,威胁情报这个东西就目前看来还上升不到决策的程度,仅仅作为安全运营态势感知的一种补充数据,用来减少日常安全数据运营的盲区,尽可能的发现更多看不见的威胁。所以说怎么样运用才是王道,接下来给大家说一下威胁情报如何真正的在安全运营中应用。

啰嗦几句:下文中提供的数据接口皆为免费/开源/可用次数免费,大家可以放心使用。


0x00 威胁情报种类和作用:

按照传统的分法来看,威胁情报分为战术情报、战略情报和运营情报三个部分,详情我在DEFCON GROUP上也分享过威胁情报的分类,具体第几张ppt来着我忘了,麻烦大家还是去ichunqiu上或者是slideshare上找找看吧,抱歉了。在这里我想说的是另一种分类方式。重点说这么几类情报类型:

  • IP/Domain 信誉类情报
  • 网络通信流量数据
  • 事件分类(Incident Pulse)数据
  • 蜜罐数据
  • 被动流量解析(Passive DNS)数据

我们一个一个来说:

IP/Domain 类信誉类情报:其实就是所谓的信誉库,国内的360威胁情报中心(ti.360.com)、微步在线(x.threatbook.cn),国外的RiskIQ Community(community.riskiq.com)这些都可以查到IP信誉类的数据。IP信誉类的数据可以让我们了解这个IP是不是一个恶意的IP、他是一个怎么样的IP、是不是被人家攻陷了的IP,这类数据可以让我们快速的知道触发IDS/WAF的IP或者是域名是不是一个很危险的域名,可以帮我们去大概了解情况。这对我们来说是个好消息,但是坏消息是,这些数据有可能不准,同一个IP的位置、接入方式、标记很有可能在不同的威胁情报平台上有着不同的结果。

网络流量通信数据:这里的网络流量指的不是内网的流量数据,而是从大网上采集的数据,比如说下面这张图,这张图就是我前两天在做攻击溯源的时候在SANS Dshield(dshield.org)上查到的53(DNS服务)端口的流量图,当然最后在我调查的时候发现这台机器实际上是一个Windows Server跑了个ISCBIND9服务,然后服务器有弱密码被人家给搞了。

可以看到这台服务器的53号端口再9月14号的时候存在一个比较大的流量波动,这两天消停多了(不该问的别问),同时我们发现了SANS还将该IP标记为ADM Worm(别太相信这些,后期我的elknot企业安全建设专栏会放蜜罐及养马场的建设)

事件分类(Incident Pulse)情报:这类情报可以算是目前比较高级的威胁情报了(不能说高级,这样的话就有点太狂了,中等高级吧),这类威胁情报是把一些威胁情报的基础数据进行打包,同时封装成一个个的事件,也就是Incident Pulse,个人认为封装成Incident Pulse的好处在于可以更快的发现事件(事件驱动的CIRT将会成为趋势,CERT可能会被CIRT取代,毕竟Emergency一定是Incident,而Incident就不一定Emergency了),另一个好处可能是出于商业目的——更好地Subscription然后收取订阅费。这两个目前做的比较好的是新版的微步在线(前面有链接)、国外的Alienvault OTX(otx.alienvault.com)、IBM X-Force Exchange(https://后面什么玩意儿记不清楚了,你们百度吧),同时订阅服务做的也很到位。之前6月Petya预警的时候我提前了好久就知道样本的md5然后从vt上扒下来开始。。。(也就半个小时吧)。下面就是IBM X-Force Exchange对于某事件的相关资产情报。

蜜罐数据:这个数据就有点意思了,不同于前面的数据,这个数据你可以去使用前面TI平台提供的,当然也可以选择你自己去设计。蜜罐这个东西其实就是让攻击者上当,这个也就是蜜罐的核心。蜜罐的作用其实有很多,除了收集攻击者使用的各种基础设施之外,更重要的时候可以收集攻击者的行为、进攻路径、产生的数据和攻击目的等等,这些对我们研究黑产和正(bai)规(mao)军(zi)的行(zi)为(shi)是非常有意义的。之前我的蜜罐就被人撸过,当时ssh蜜罐完整的记录下来这个人的行为,最后追回去的时候发现这个人是个白帽子。由于姿势太骚,可以看点不骚的操作,如下图所示(我做测试的)。

被动流量解析数据:也就是大家说的PDNS(Passsive DNS的缩写),数据,这类数据其实就是去被动的解析域名,然后把解析的结果记录下来,比如说我司的Passive DNS(地址忘了,貌似是passivedns.cn),这类数据可以帮我们去识别出来一些攻击者的历史信息,比如说这个域名开始时候谁注册的什么乱七八糟的。上个图吧,比如说百度的PDNS数据。

以上这些就是一些威胁情报的分类,当然要根据情况去使用对应的威胁情报数据可以说是必须的。

预告Part 2的内容——使用钻石模型分析攻击事件

编辑于 2017-10-14