1.信息和情報的關聯
在信息收集過程中往往會收集很多雜亂無章的信息,需要依據一些篩選的規則和策略來去除掉垃圾信息,再由人工對剩餘的信息進行技術分析,提取出有效的情報或者加以考證的情報來供後續情報分析。在一次分析中無用信息佔比在80%左右,能夠提取出的情報僅僅只有20%,所以對信息的分析是一項很細緻的工作。接下來說一下情報收集的流程。
(1)信息是如何轉變爲情報的:
- 直接信息 à 可以直觀看出來的情報
- 深度信息 à 需要分析進而提取出來有效情報
- 推理信息 à 基於信息推理出的疑似情報,需要論證
(2)信息的深入分析:
1.需要技術人員針對特定的信息用所掌握的知識庫來將信息拼湊重組來獲取到情報。通過這種方式能夠發現類似於信息鏈的情報,能夠給進一步的分析提供思路幫助。
2.基於案例講解信息與情報
在這裏可以舉一個例子來幫助大家更加形象的理解信息與情報的對應關係,並且瞭解這麼做的意義和這麼做能實現什麼目的。先來描述一下此案例的背景和目的。
-----------------------------------------------------------
背景:在蜜網系統中獲取到黑客的 C&C信息、攻擊代碼、樣本文件,對樣本進行逆向得到上線域名。通過檢測域名獲取到一週的告警事件,利用 google 搜索到231條信息。
目的:判斷黑客攻擊屬性
-----------------------------------------------------------
接着將收集到的信息按照直接信息、深度信息、推理信息以及情報信息來一一說明每個過程能夠分析出來的東西,以及如將信息轉化爲所需要的情報。
- 直接信息:
(1)告警事件域名:被攻擊目標網站中有1138個可以訪問,219個不可訪問;可訪問的網站裏面有128個位於 weblogic框架中,365個位於 Wordpress中,531個是 Struts2 框架;
(2)告警事件服務:被攻擊的目標中存活的 SSH 服務有3291個、Mysql服務有2190個、Redis服務1210個等等;
(3)被攻擊IP所處位置:所有事件中,被攻擊 IP 位於多個省份。
(4)搜索引擎處理:有120條重複信息需要刪除,篩選出來了有16條百度貼吧的信息,獨特論壇信息83條,猴島遊戲論壇信息12條、微博信息3條以及其他信息;
(5)個人信息:在朋友圈以及各種論壇中,可以得出部分攻擊者自我學習成長的信息
- 深度信息:
(1)被攻擊站點框架分析:大部分網站使用了開源框架或者是開源的建站系統,能夠下載到開源代碼進行分析。
(2)被攻擊站點漏洞分析:通過主動探測確認被攻擊網站中曾經存在漏洞,而且至少有70個網站能夠很容易的找到後臺甚至爆破出密碼。
(3)被攻擊站點服務分析:被攻擊的 SSH、Mysql 等服務中,大部分使用了默認端口並對公網開放;
(4)被攻擊域名信息分析:攻擊域名以及 C&C 在獨特論壇出現過並可以獲取到相關 QQ 號及朋友圈信息;
- 推理信息:
(1)攻擊方式猜測:使用同類組件或者系統建站的網站是利用同樣的漏洞被攻擊的;
(2)攻擊資產關聯猜測:被攻擊資產在區域上沒有任何規律追尋,可以判斷黑客是根據漏洞覆蓋度進行攻擊的,而不是根據影響類型;
(3)目標選擇猜測:黑客選擇目標時有可能是每次出現漏洞時,利用搜索引擎批量獲取受影響的目標,或者是黑客掌握了目標行業的集中監測能力;
(4)攻擊者成長方式:黑客是利用過內技術交流論壇通過獲取樣本及攻擊工具不斷成長的;
- 情報信息:
(1)被攻擊的網站及服務是非常危險的或者可以判斷爲已經被黑客入侵;
(2)從被攻擊目標上來看,黑客可能不是利用高深的技術,而是關注最新漏洞情況,快速利用漏洞進行全面打擊;
(3)黑客是國內一名受到了黑產利益驅動的個人羣體,沒有特殊行業背景。
上述案例就反應出了針對一次攻擊信息的分析以及最終由信息到情報的演進,能夠系統的收集出攻擊者的相關情報。有了相關情報就能展開接下來有針對性的情報挖掘了。
在工作中如果能接觸到大數據平臺或者類似於安全管理平臺的小夥伴們就可以用上述的思路針對攻擊入侵的ip 進行分析與研究,感興趣的也可以自己運作一個蜜罐系統來看看邪惡的互聯網上有什麼。