威脅情報之資產收集

2022-01-23 20:46:51 字數 3416 閱讀 1077

17bdw

從乙方威脅情報角度通過漏掃探測c2主機指紋,結合內部威脅情報做資料關聯,可以找出更多的樣本,分析樣本找到網路特徵和主機特徵。而一套探測過程對於滲透測試來說來說往往提到的就是高危埠暴露,資訊收集。

針對某些特定網段做同源確實會有威脅情報挖掘的價值。參考《那些和185.244.25.0/24網段有關的botnet》

通過收集特定網段的埠資訊結合當前掌握c2主機資訊。資產收集的作用如下:

很多掃瞄器都可以做資產收集,通過大資料做收集的平台也開始增加起來。

大資料做安全的**

但是這些平台多少會有查詢數量的限制。如果可以仿照乙個技術資訊庫,把資產按照標籤收集起來,每當出現乙個漏洞就可以很容易檢索出特定標籤的**了。

資料庫表設計頭疼了一段時間,以下是資料庫表設計的最初版。分別為目標站點表、二級網域名稱蒐集、ip、埠。

儲存目標的資料,id主鍵,type標籤型別,domain或ip;建立時間和修改時間是為了關注目標狀態改變的時間。

id          int        // 主鍵自增長id


source varchar // 資產**


yys varchar // 運營商


domain varchar // 運營商網域名稱


ioc_domain varchar // ioc網域名稱


ioc_ip varchar // ioc ip


dq varchar // 地區


type varchar // 儲存的是ip還是domain


target varchar // 目標組織


create_time datetime // 建立時間


update_time datetime // 更新時間
儲存子網域名稱資料

id              int        // 主鍵自增長id


host varchar // ip做主要索引


title varchar // **標題


ip varchar // ip 


domain varchar // 運營商網域名稱


port varchar // 當前網域名稱訪問的埠


country varchar // 國家**


province varchar // 省份


city varchar // 城市


country_name varchar // 國家名字


header varchar // 網路回顯


cert varchar // 證書資訊


isp varchar // isp資訊


as_number varchar


as_organization varchar


data_source varchar // 資料**


create_time datetime // 建立時間


update_time datetime // 更新時間
把網域名稱中的ip提煉出來,批量掃瞄ip。

id             int        // 主鍵自增長id


taskid int // 任務id


create_time datetime // 建立時間


update_time datetime // 更新時間


domain varchar // 網域名稱


address varchar // ip位址


is_up varchar // 存活狀態


os varchar // 作業系統版本
採用多工掃瞄

id              int        // 主鍵自增長id


taskid int // 任務id


create_time datetime // 建立時間


update_time datetime // 更新時間


address varchar // ip位址


port int // ip開放的埠


service varchar // 服務


state varchar // 狀態


protocol varchar // 協議


scripts_results varchar // 指令碼掃瞄結果
入庫整理是有一段進步的,最開始excel做初始資料庫整理。

後來資料量增大改用mysql,python2的第三方庫是使用的mysqldb。再然後棄用python2改用python3操作mysql**全改選用pymysql。

對於威脅情報收集來說一定不可避免會遇到如下問題。

請求網路包的頻率、數量,對網路和應用造成影響,交換機/路由器可能因此宕機,引發連鎖反應,qps過高可能超出服務的效能極限,導致業務中斷;

業務無法正確處理請求包裡的特殊輸入,引發異常宕機,比如乙個私有協議的服務也許只是碰巧監聽在了tcp 80埠,收到乙個http get請求就直接掛了;

請求公網的業務時,每乙個url的探測,都可能造成乙個40x或者50x的錯誤日誌。而業務的正常監控邏輯正是用access log裡的狀態碼來進行的。不做任何處理的話,突然40x猛增,業務的sre和rd必然要進行響應

不同於執法機構,安全公司是沒有權力去入侵**來獲取流量和伺服器許可權的。但是對於情報挖掘來說,不入侵不等同於不探測,必須要通過人肉挖掘和分析的方式判斷c2主機然後嘗試關聯攻擊事件,內部資料庫收集樣本。

資訊探測對於威脅情報挖掘也是必要引入的手段之一,通過流量還原大量pe,通過pe結構獲取到c2,通過c2擴充套件資訊。但是可以結合規則調整掃瞄策略。

變更風險評估:交換機路由器的流量和容量、業務的qps、業務/網路掛掉的最極端風險評估

變更知會:業務的管理者、rd、sre、dba、qa甚至網路維護方、有關部門,是否知道上述所有關鍵資訊,並授權同意進行掃瞄

回滾計畫:如果出了問題,怎麼最快速的停止掃瞄和恢復業務(有些動作要上面的變更知情範圍的關鍵干係人配合)

變更觀察:執行掃瞄的時候,判斷業務是否正常,判斷apt組織的警惕性,以便在出問題的第一時間響應;

漏洞掃瞄的一些運營常識

資產收集

安全威脅情報實戰

2012年5月18日,darkreading發表了一篇文章,題為威脅情報實戰。這個文章提及了威脅情報分析的重要性。作者認為,在面對新型威脅,新技術革新 例如雲計算 的時候,安全專家們需要改變傳統的安全防禦思路。對此,我也表示贊同。首先,要確定所要保護的重要資產。正如 當apt成為主流 中所述,在對抗...

安全威脅情報實戰

2012年5月18日,darkreading發表了一篇文章,題為威脅情報實戰。這個文章提及了威脅情報分析的重要性。作者認為,在面對新型威脅,新技術革新 例如雲計算 的時候,安全專家們需要改變傳統的安全防禦思路。對此,我也表示贊同。首先,要確定所要保護的重要資產。正如 當apt成為主流 中所述,在對抗...

文章記錄 威脅情報

20200915 本篇文章是美團安全部分發表在安全脈搏的一篇文章,文章按照以下脈絡進行闡述。1 企業威脅定義 2 如何評估企業威脅情報質量 3 威脅情報體系構建 4 威脅情報體系運營 以上四個角度進行了闡述,在最終講解了乙個利用自然語言處理的技術來產出情報的案例。其中威脅情報的體系由資料 平台 運維...