威脅情報之開源情報搜集

前言

根據Gartner對威脅情報的定義,威脅情報是某種基于證據的知識,包括上下文、機制、標示、含義和能夠執行的建議,這些知識與資產所面臨已有的或醞釀中的威脅或危害相關,可用于資產相關主體對威脅或危害的響應或處理決策提供信息支持。本文所說的威脅情報屬于狹義的威脅情報,其主要內容為用于識別和檢測威脅的失陷標識,如文件HASH,IP,域名,程序運行路徑,注冊表項等,以及相關的歸屬標簽。

1、定期更新的IOC黑名單

https://myip.ms/files/blacklist/general/latest_blacklist.txt

2、知名廠商免費API

2.1注冊VirusTotal賬戶,VT提供一個免費的API,可以進行IP,Domain,File類信息的查詢,免費賬戶有查詢速率限制,每分鐘查詢四次限制,可以注冊多個賬戶輪訓。

https://www.virustotal.com

3、開源web沙箱

目前國內外主流的安全公司都有自己的威脅情報業務,例如VT,360,奇安信,微步在線,天際友盟等。關于IP,domain的部分情報實際上來自于惡意樣本在沙箱中的網絡行為,可以利用開源沙箱Cuckoo分析惡意樣本,實現IOC的生產。

4、部署蜜罐/蜜網

可以部署蜜罐進行IOC的生產和相關Tag的標注,這邊推薦我使用過的開源蜜罐HFish

4、情報爬蟲

國內的安全廠商都會定期更新安全分析文章,文章末尾有高質量IOC,可以利用爬蟲技術實現對公開安全報告中的IOC實現爬取。

  • 安全廠商微信公眾號
1、安恒威脅情報中心
2、奇安信威脅情報中心
3、360威脅情報中心
4、騰訊安全威脅情報中心
  • 安全廠商威脅情報中心
1、安天威脅情報中心 https://ti.dbappsecurity.com.cn/informationList

5、訂閱免費情報源

可以通過訂閱一些免費的開源情報平臺獲取高質量的威脅情報

AlienVault開放威脅交換(OTX)是全球權威的開放威脅信息共享和分析網絡。OTX提供了一個由威脅研究人員和安全專業人員組成的全球社區,有來自140個國家的5萬多名參與者,每天貢獻400多萬個威脅指標。

6、Twitter等平臺

Twitter等國外社交媒體上經常有第一手的攻擊信息,實效性強,老外的研究成果確實要領先于國內,經常出現國外前一天發布,國內第二天炒冷飯的情況,但是此類信息的缺點同樣明顯:信息準確性未經驗證,信息碎片化,難以規范化。

最后編輯于
?著作權歸作者所有,轉載或內容合作請聯系作者
平臺聲明:文章內容(如有圖片或視頻亦包括在內)由作者上傳并發布,文章內容僅代表作者本人觀點,簡書系信息發布平臺,僅提供信息存儲服務。

推薦閱讀更多精彩內容