前言
根據Gartner對威脅情報的定義,威脅情報是某種基于證據的知識,包括上下文、機制、標示、含義和能夠執行的建議,這些知識與資產所面臨已有的或醞釀中的威脅或危害相關,可用于資產相關主體對威脅或危害的響應或處理決策提供信息支持。本文所說的威脅情報屬于狹義的威脅情報,其主要內容為用于識別和檢測威脅的失陷標識,如文件HASH,IP,域名,程序運行路徑,注冊表項等,以及相關的歸屬標簽。
1、定期更新的IOC黑名單
https://myip.ms/files/blacklist/general/latest_blacklist.txt
2、知名廠商免費API
2.1注冊VirusTotal賬戶,VT提供一個免費的API,可以進行IP,Domain,File類信息的查詢,免費賬戶有查詢速率限制,每分鐘查詢四次限制,可以注冊多個賬戶輪訓。
https://www.virustotal.com
3、開源web沙箱
目前國內外主流的安全公司都有自己的威脅情報業務,例如VT,360,奇安信,微步在線,天際友盟等。關于IP,domain的部分情報實際上來自于惡意樣本在沙箱中的網絡行為,可以利用開源沙箱Cuckoo分析惡意樣本,實現IOC的生產。
4、部署蜜罐/蜜網
可以部署蜜罐進行IOC的生產和相關Tag的標注,這邊推薦我使用過的開源蜜罐HFish
4、情報爬蟲
國內的安全廠商都會定期更新安全分析文章,文章末尾有高質量IOC,可以利用爬蟲技術實現對公開安全報告中的IOC實現爬取。
- 安全廠商微信公眾號
1、安恒威脅情報中心
2、奇安信威脅情報中心
3、360威脅情報中心
4、騰訊安全威脅情報中心
- 安全廠商威脅情報中心
1、安天威脅情報中心 https://ti.dbappsecurity.com.cn/informationList
5、訂閱免費情報源
可以通過訂閱一些免費的開源情報平臺獲取高質量的威脅情報
AlienVault開放威脅交換(OTX)是全球權威的開放威脅信息共享和分析網絡。OTX提供了一個由威脅研究人員和安全專業人員組成的全球社區,有來自140個國家的5萬多名參與者,每天貢獻400多萬個威脅指標。
6、Twitter等平臺
Twitter等國外社交媒體上經常有第一手的攻擊信息,實效性強,老外的研究成果確實要領先于國內,經常出現國外前一天發布,國內第二天炒冷飯的情況,但是此類信息的缺點同樣明顯:信息準確性未經驗證,信息碎片化,難以規范化。