使用威脅情報追蹤攻擊者——Part 1 威脅情報的另類分類

對不起食言了,之前說好了由於某些不可抗力的眾所周知的原因,導致這一段時間沒法發文章了。但是由於今天分析日誌的時候看花了眼,然後再看了一下昨天晚上在被窩裡寫的,覺得還是可以發出來滴。趁著女朋友正在跟丈母娘打電話,排了個版,然後更新出來了。

事情是這樣的,之前有很多朋友留言和私聊問我你搞威脅情報這麼長時間了(說來慚愧,接觸威脅情報到現在可能連一年半的時間也沒有,而真正開始搞得時候是我從信息安全部到企業安全這邊來之後),有沒有什麼好用的姿勢來讓威脅情報真真正正的為企業安全發揮點作用。我個人覺得吧,威脅情報這個東西就目前看來還上升不到決策的程度,僅僅作為安全運營態勢感知的一種補充數據,用來減少日常安全數據運營的盲區,儘可能的發現更多看不見的威脅。所以說怎麼樣運用才是王道,接下來給大家說一下威脅情報如何真正的在安全運營中應用。

啰嗦幾句:下文中提供的數據介面皆為免費/開源/可用次數免費,大家可以放心使用。

0x00 威脅情報種類和作用:

按照傳統的分法來看,威脅情報分為戰術情報、戰略情報和運營情報三個部分,詳情我在DEFCON GROUP上也分享過威脅情報的分類,具體第幾張ppt來著我忘了,麻煩大家還是去ichunqiu上或者是slideshare上找找看吧,抱歉了。在這裡我想說的是另一種分類方式。重點說這麼幾類情報類型:

  • IP/Domain 信譽類情報
  • 網路通信流量數據
  • 事件分類(Incident Pulse)數據
  • 蜜罐數據
  • 被動流量解析(Passive DNS)數據

我們一個一個來說:

IP/Domain 類信譽類情報:其實就是所謂的信譽庫,國內的360威脅情報中心(ti.360.com)、微步在線(x.threatbook.cn),國外的RiskIQ Community(community.riskiq.com)這些都可以查到IP信譽類的數據。IP信譽類的數據可以讓我們了解這個IP是不是一個惡意的IP、他是一個怎麼樣的IP、是不是被人家攻陷了的IP,這類數據可以讓我們快速的知道觸發IDS/WAF的IP或者是域名是不是一個很危險的域名,可以幫我們去大概了解情況。這對我們來說是個好消息,但是壞消息是,這些數據有可能不準,同一個IP的位置、接入方式、標記很有可能在不同的威脅情報平台上有著不同的結果。

網路流量通信數據:這裡的網路流量指的不是內網的流量數據,而是從大網上採集的數據,比如說下面這張圖,這張圖就是我前兩天在做攻擊溯源的時候在SANS Dshield(dshield.org)上查到的53(DNS服務)埠的流量圖,當然最後在我調查的時候發現這台機器實際上是一個Windows Server跑了個ISCBIND9服務,然後伺服器有弱密碼被人家給搞了。

可以看到這台伺服器的53號埠再9月14號的時候存在一個比較大的流量波動,這兩天消停多了(不該問的別問),同時我們發現了SANS還將該IP標記為ADM Worm(別太相信這些,後期我的elknot企業安全建設專欄會放蜜罐及養馬場的建設)

事件分類(Incident Pulse)情報:這類情報可以算是目前比較高級的威脅情報了(不能說高級,這樣的話就有點太狂了,中等高級吧),這類威脅情報是把一些威脅情報的基礎數據進行打包,同時封裝成一個個的事件,也就是Incident Pulse,個人認為封裝成Incident Pulse的好處在於可以更快的發現事件(事件驅動的CIRT將會成為趨勢,CERT可能會被CIRT取代,畢竟Emergency一定是Incident,而Incident就不一定Emergency了),另一個好處可能是出於商業目的——更好地Subscription然後收取訂閱費。這兩個目前做的比較好的是新版的微步在線(前面有鏈接)、國外的Alienvault OTX(otx.alienvault.com)、IBM X-Force Exchange(https://後面什麼玩意兒記不清楚了,你們百度吧),同時訂閱服務做的也很到位。之前6月Petya預警的時候我提前了好久就知道樣本的md5然後從vt上扒下來開始。。。(也就半個小時吧)。下面就是IBM X-Force Exchange對於某事件的相關資產情報。

蜜罐數據:這個數據就有點意思了,不同於前面的數據,這個數據你可以去使用前面TI平台提供的,當然也可以選擇你自己去設計。蜜罐這個東西其實就是讓攻擊者上當,這個也就是蜜罐的核心。蜜罐的作用其實有很多,除了收集攻擊者使用的各種基礎設施之外,更重要的時候可以收集攻擊者的行為、進攻路徑、產生的數據和攻擊目的等等,這些對我們研究黑產和正(bai)規(mao)軍(zi)的行(zi)為(shi)是非常有意義的。之前我的蜜罐就被人擼過,當時ssh蜜罐完整的記錄下來這個人的行為,最後追回去的時候發現這個人是個白帽子。由於姿勢太騷,可以看點不騷的操作,如下圖所示(我做測試的)。

被動流量解析數據:也就是大家說的PDNS(Passsive DNS的縮寫),數據,這類數據其實就是去被動的解析域名,然後把解析的結果記錄下來,比如說我司的Passive DNS(地址忘了,貌似是passivedns.cn),這類數據可以幫我們去識別出來一些攻擊者的歷史信息,比如說這個域名開始時候誰註冊的什麼亂七八糟的。上個圖吧,比如說百度的PDNS數據。

以上這些就是一些威脅情報的分類,當然要根據情況去使用對應的威脅情報數據可以說是必須的。

預告Part 2的內容——使用鑽石模型分析攻擊事件


推薦閱讀:

奚夢瑤背後的數據
數據分析——打開通向未來的一扇新窗
鄒昕的 Live -- 生物專業轉行數據分析

TAG:数据分析 | 网络安全 | 信息安全 |