1.信息和情报的关联
在信息收集过程中往往会收集很多杂乱无章的信息,需要依据一些筛选的规则和策略来去除掉垃圾信息,再由人工对剩余的信息进行技术分析,提取出有效的情报或者加以考证的情报来供后续情报分析。在一次分析中无用信息占比在80%左右,能够提取出的情报仅仅只有20%,所以对信息的分析是一项很细致的工作。接下来说一下情报收集的流程。
(1)信息是如何转变为情报的:
- 直接信息 à 可以直观看出来的情报
- 深度信息 à 需要分析进而提取出来有效情报
- 推理信息 à 基于信息推理出的疑似情报,需要论证
(2)信息的深入分析:
1.需要技术人员针对特定的信息用所掌握的知识库来将信息拼凑重组来获取到情报。通过这种方式能够发现类似于信息链的情报,能够给进一步的分析提供思路帮助。
2.基于案例讲解信息与情报
在这里可以举一个例子来帮助大家更加形象的理解信息与情报的对应关系,并且了解这么做的意义和这么做能实现什么目的。先来描述一下此案例的背景和目的。
-----------------------------------------------------------
背景:在蜜网系统中获取到黑客的 C&C信息、攻击代码、样本文件,对样本进行逆向得到上线域名。通过检测域名获取到一周的告警事件,利用 google 搜索到231条信息。
目的:判断黑客攻击属性
-----------------------------------------------------------
接着将收集到的信息按照直接信息、深度信息、推理信息以及情报信息来一一说明每个过程能够分析出来的东西,以及如将信息转化为所需要的情报。
- 直接信息:
(1)告警事件域名:被攻击目标网站中有1138个可以访问,219个不可访问;可访问的网站里面有128个位于 weblogic框架中,365个位于 Wordpress中,531个是 Struts2 框架;
(2)告警事件服务:被攻击的目标中存活的 SSH 服务有3291个、Mysql服务有2190个、Redis服务1210个等等;
(3)被攻击IP所处位置:所有事件中,被攻击 IP 位于多个省份。
(4)搜索引擎处理:有120条重复信息需要删除,筛选出来了有16条百度贴吧的信息,独特论坛信息83条,猴岛游戏论坛信息12条、微博信息3条以及其他信息;
(5)个人信息:在朋友圈以及各种论坛中,可以得出部分攻击者自我学习成长的信息
- 深度信息:
(1)被攻击站点框架分析:大部分网站使用了开源框架或者是开源的建站系统,能够下载到开源代码进行分析。
(2)被攻击站点漏洞分析:通过主动探测确认被攻击网站中曾经存在漏洞,而且至少有70个网站能够很容易的找到后台甚至爆破出密码。
(3)被攻击站点服务分析:被攻击的 SSH、Mysql 等服务中,大部分使用了默认端口并对公网开放;
(4)被攻击域名信息分析:攻击域名以及 C&C 在独特论坛出现过并可以获取到相关 QQ 号及朋友圈信息;
- 推理信息:
(1)攻击方式猜测:使用同类组件或者系统建站的网站是利用同样的漏洞被攻击的;
(2)攻击资产关联猜测:被攻击资产在区域上没有任何规律追寻,可以判断黑客是根据漏洞覆盖度进行攻击的,而不是根据影响类型;
(3)目标选择猜测:黑客选择目标时有可能是每次出现漏洞时,利用搜索引擎批量获取受影响的目标,或者是黑客掌握了目标行业的集中监测能力;
(4)攻击者成长方式:黑客是利用过内技术交流论坛通过获取样本及攻击工具不断成长的;
- 情报信息:
(1)被攻击的网站及服务是非常危险的或者可以判断为已经被黑客入侵;
(2)从被攻击目标上来看,黑客可能不是利用高深的技术,而是关注最新漏洞情况,快速利用漏洞进行全面打击;
(3)黑客是国内一名受到了黑产利益驱动的个人群体,没有特殊行业背景。
上述案例就反应出了针对一次攻击信息的分析以及最终由信息到情报的演进,能够系统的收集出攻击者的相关情报。有了相关情报就能展开接下来有针对性的情报挖掘了。
在工作中如果能接触到大数据平台或者类似于安全管理平台的小伙伴们就可以用上述的思路针对攻击入侵的ip 进行分析与研究,感兴趣的也可以自己运作一个蜜罐系统来看看邪恶的互联网上有什么。