之前的《回看2017 | 威胁情报看威胁》收到了些反馈,很多朋友来找我聊文章里的细节,但又抱怨我说一半留一半。
其实,真是没什么可保留的,只是很多数据摆出来,只要有心,并不难看明白一些事实。这里,根据文章,站在最终用户的视角来看,放一些我个人的结论。至于是否有用,见仁见智。
建立全球的开源情报采集与响应能力,尤其是利用好时差,例如WannaCry在国外最早带有IOCs(一个HASH)的报道出现在5月12日早8:40(当地时间),而此时正是国内的周五晚上,若利用好这个时间差对很多企业来说已经可以决定生死了;
既然开源情报这么有价值,那么,该如何使用?ET Pro的部分分析的最多,从套路、到源头,妥妥的都是最佳实践了;
行业最热没错,但热点能给最终使用方带来的性价比未必是最高的。比如,DGA的问题有段时间被热议,但从更大范围的威胁数据上去看,DGA域名的比例并没有想象中那么大。但我们都知道,想要在不逆向算法的情况下去解决DGA的问题,所需要投入的精力却不算小,这样的投入产出比,是否值得?或是换一种套路来解决DGA背后隐藏的问题,也许开销更小、收益却未必能有所下降 —— 当然,如果想要形成持续捕获并逆向算法的能力,对一般用户来说则更耗费精力。所以,如果已经有安全厂商在做了,不如直接去买,性价比可能反而更高;
勒索软件按家族来看,其披露出来的数量是有放缓趋势的,但从造成的伤害来看,至少从报道频度说,是相对2016年有大幅度提升的。这很可能意味着,勒索已经开始走向精耕细作的阶段,勒索不再是撒网捕鱼的方式,而会慢慢的开始走向定点、定向的套路。之前我写过关于勒索的科普文,我认为,勒索会逐步APT化(目前已经有类似案例)。
Botnet依然猖獗,但DDoS似乎已经不再是Botnet的重要释放出口(参考绿盟2017H1的DDoS报告,DDoS总流量在2017H1不升反降)。结合2017年各种Miria变种的分析来看,单IP资源的获取成本依然很低。那么,Botnet所产生的流量将会导向何方?爬虫是我目前所知道且看到的一个去向(可惜没有明确数据支撑)。
恶意域名后缀分布的走势值得揣摩, .com 以超过 50%的优势占据了后缀比例的第一名,.net名列第二。第三名及以后那些我虽然没有写但却画出来的后缀,值得琢磨:第三 .com.br ,第四 .org ,第五 .ru ,第六 .info ,第七 .com.au …… 这个到底有什么可琢磨的?好吧,作为最终用户,翻翻你自己的DNS解析日志,也许能带来一些新思路。
再多说两句,上面总结出这些思路和数据源头,又有什么用呢?
其实最早着手总结的时候,我没有太多考虑过其他人会怎么用,我完全是为了补充我的套路来用的,而我的方法与实践所结合的套路大致如下,这个,就不多细讲了。
依照这个套路所列出来的一个解析案例(对这么多无节操的马赛克我很抱歉)。
其实,仔细琢磨个中细节之后就会发现,我所总结的套路并非不是高大上的技术套路,因为我更崇尚对信息的整合以及再利用。情报讲究唯快不破,而任何一个情报团队也不可能在方方面面都占尽优势(谁家老板给你那么多编制让你这么作,请告诉我),在保持你最快的那块能力的前提下,用好其他比你更快的资源,再将其整合到你的场景之中,这就是最大的价值了。
好,就这些吧。我觉得能凑够一篇发出来了。
本来还想着把上次提到的Ransomware数据补上,不过最近睡眠不足,还是早点休息了。
(最后,以后不搞赞赏了,iOS赞赏被封了之后一篇文章连个煎饼钱都凑不出来)
