深入浅出略谈威胁情报

2019-05-07 9,077

最近翻了下笔记发现也没啥可发出来的,干脆操刀写一篇新文章好了。运营不易且行且珍惜。


威胁情报名词日常生活当中很多人都在提及,也在说它该如何做如何运营等手段。每个人都有每个人的见解,对于我初入接触而言可能知识面没有专注该领域多年的较好,此文为仅供新手阅读了解。


一、业务层面的业务情报

1、针对业务情报网站定制化关键字抓取

2、社交群体(qq群等)

3、……

每个产品出现薅羊毛等情况肯定首先发布于一些网站

而我们需要做的无非就是梳理清楚自己业务线都有哪些相关业务、app等。我试过采用该方法去采集了很多相关的情报,联动推送至IM实时可看的情况。


但此处的不足是,当业务情报网站过多时会导致变成IM轰炸,而这种情况需要的无非就是运营层面和自动化判断文章内容看是否真的存在较大威胁(这里我没有做,也不会,就不讲了)。

也有会从qq群中发布羊毛活动供于群友去撸羊毛,有时候还会看到自动化软件去操作。


最近某个薅羊毛自动化工具


其实每个活动都是有它的一个时间线的,基本会在活动的前中期,还有类似于聊x宝这样的特殊情况上线不足48小时用户高达200万,为什么能有这么高?全因为邀请好友会有红包领取导致羊毛党借助接码平台进行薅羊毛。那么针对于qq群的监控要怎么做?首先要加相对较高质量的群再借助qq群控定制关键字。群控的工具有:酷q、QM等,大概都类似于这样吧。软件出现关键词时,软件会提醒,包括弹窗提醒、声音提醒、记录消息、自动回复、消息转发、自动保存……功能都非常完善了。

(群控软件)


提交业务威胁情报时遵循4w原则,何为4w:

给予平台反馈,什么时候产生的这个情报、地址是什么、是否有相关人员信息等等。


(之前提交某厂的一个issues反馈)


二、网盘泄漏

似乎在2017年以后百度网盘更改了分享文件uri的机制,根据【业务威胁之细说网盘泄漏风险】一文有写道,文末会放出链接仅供大家阅读。这里就不详谈太多了,因为18年后能借助网盘搜索引擎的结果都比较少了。(此前提交过相关的issues奖励不屑于提交漏洞)


三、攻击行为

有漏洞层面的攻击,更有挖矿、勒索等情况在甲方中屡屡出现,要想真正降低风险就要明确需要哪些信息。


譬如:

1、domain、ip

2、文件hash/md5

3、poc

4、攻击工具

等等,这里就不一一列举了。微步在线提供了社区化情报模式让各方路人能从平台提交、获知等形式,拿到相关信息后无非就是加入黑名单使办公网、生产网做一个阻断形式避免出现员工从该站下载(访问)带有威胁的文件等。还有就是针对于漏洞层面,知乎上elknot写道《NLP从入门到放弃——处理威胁情报》感兴趣可以去看一下。在统计自身企业组件后针对该情况定制,若有新cve且风险等级较高的进行一些实时推送,能让应急的同学快速跟进、解决问题而不是等机器被黑了才去主动做。


威胁情报开放平台:

1、微步在线 https://x.threatbook.cn/

2、Riskiq http://passivetotal.org

3、360威胁情报中心 https://ti.360.net/

4、virustotal https://www.virustotal.com/

5、OTX https://otx.alienvault.com/

6、绿盟威胁分析中心 https://poma.nsfocus.com/

7、天际友盟 https://redqueen.tj-un.com/IntelHome.html

还有很多在此不一一赘述。


其实上述几个方面都离不开

  • 定向:定义目标并完善

  • 收集:从多种开放或封闭的源收集数据;电子的、人工的

  • 处理:如有需要,翻译;进行可靠性评估;核对多个源

  • 分析:判断此信息的意义;评估信息的重要性;推荐相应措施

  • 传递:将情报传递给需求者

  • 反馈:依照需求调整


四、黑色产业链

(图源于网络侵删)


五、Reference

https://mp.weixin.qq.com/s/TeXdjDcWLmLi4iw8ff9XvA

https://zhuanlan.zhihu.com/p/50998317

https://github.com/ym2011/SecurityTechnique/tree/master/%E5%A8%81%E8%83%81%E6%83%85%E6%8A%A5


本文作者:逢人斗智斗勇

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/105379.html

Tags:
评论  (0)
快来写下你的想法吧!

逢人斗智斗勇

文章数:1 积分: 10

安全问答社区

安全问答社区

脉搏官方公众号

脉搏公众号