威胁情报有哪些生产方法
威胁情报生产方法有:
开源情报法:网络上有不少安全公司或者威胁情报从业人员会不定期公开一些情报,这些统称为开源情报(业内常称为OSINT),其中包括互联网上恶意的扫描攻击IP,远控域名/IP(业内常称为C2),恶意的样本,恶意家族威胁事件,新的公开漏洞,比如cve、cnvd,互联网上的tor节点,这些都是可以通过订阅或者爬取获得。当然,获得的这些开源情报,不能直接用于生产环境,必须结合自身的情报生产流程,做进一步的校验,确定其目前仍然是恶意,并且丰富其上下文信息,才可以用于生产环境。
杀毒引擎法:具备杀毒引擎产品或能力的企业,可以从文件的静态恶意特征,或者端上恶意的行为,去判断一个文件是不是恶意的,从而获得恶意的文件HASH情报。常见的恶意文件情报,其实也分为pc端和服务器端的,环境不同,能获取到的文件种类和数量其实也不同。个人pc端,大部分是用户从网页上下载的恶意文件,如一些盗版或破解软件,这些很可能被植入了病毒,还有不少通过电子邮件或社交软件发送的钓鱼病毒软件。而服务器端捕获的文件,更多是黑客在云上自动化扫描攻击后植入的挖矿病毒、勒索病毒和远控木马等恶意文件。
动态沙箱法:其实沙箱也是许多杀毒引擎的模块之一,主要是通过提供一个相对隔离的环境去运行样本,从而获取该样本运行过程中的行为,从而去判断其是否恶意。这里之所以要单独拎出来讲,是因为有许多公司并没有生产并对外售卖杀毒引擎,因此没有样本优势用于生产威胁情报,但是他们可以通过自研并开放沙箱,从而获取用户自行提交的样本,也可以通过付费计划去向virustotal这类公司购买大量的样本,进而去生产威胁情报。
网络流量法:不少公司可以通过流量安全产品,发现网络流量中恶意的攻击,非法的外连,如防火墙,WAF等安全产品,可以通过安全告警去生产相应的恶意入站情报和恶意远控C2情报,WAF还可以生产BOT IP,恶意邮箱账号,手机号等业务安全相关的情报,通过这种方式还可以保留威胁事件发生时的上下文信息,比如该恶意攻击IP是使用什么漏洞进行攻击,该远控C2是通过什么后门协议进行通信,这些都能为情报的判研和运营提供更多的上下文依据支撑。甚至可以通过样本分析,挖掘出恶意家族在C2通信时的特征,进而在流量安全产品下发策略,持续地捕获该恶意家族的C2情报。
蜜罐法:蜜罐常被用于模拟脆弱的机器环境,并暴露高危的端口和服务,从而引诱攻击。我们可以在云上部署大量的蜜罐,去捕获云上的自动化扫描攻击,或者新型漏洞的在野利用,也可以捕获大量的僵尸网络和蠕虫病毒。因此通过蜜罐,我们可以收集到云上的恶意数据,并且进入到自己的威胁情报生产流程中,进一步判研。当然,如果你是云厂商,大可不必通过这种方式,因为云上的机器,就是最真实的“蜜罐”,每天都会有大量的机器被恶意攻击和入侵,通过旁路流量安全设备,结合端上安全引擎,即可捕获所需的恶意情报数据。
主动扫描法:主动扫描法常用来发现互联网上的远控C2,核心思想是通过对一些远控框架的分析,比如CobaltStrike远控服务器,以及github上大量的开源远控框架,发现其暴露的特定访问路径,或者对特定协议的响应,通过主动扫描的方法,去获取相关的C2情报。