資安分析師的日常 - iThome
文章推薦指數: 80 %
他所在的SOC團隊位於隸屬於公部門組織,使用RiskIQ PassiveTotal調查入侵指標(Indicators of Compromise,IOC),透過PassiveTotal,他們在回報資安 ...
移至主內容
文/廠商新聞稿
|
2017-08-09發表
John是SOC團隊中的一位威脅分析師。
他所在的SOC團隊位於隸屬於公部門組織,使用RiskIQPassiveTotal調查入侵指標(IndicatorsofCompromise,IOC),透過PassiveTotal,他們在回報資安事件時大幅降低了誤報率。
PassiveTotal中擁有大量不同面向且獨特的資料集,透過RiskIQ的分析整理使這些資料產生有意義的關聯,能有效幫助調查的進行。
勾勒出潛在的連結、分群類似的攻擊活動、並對調查的假設做佐證。
過去John的團隊須利用各式不同的工具來進行調查,因此在作業上會需要相當的時間去手動整合、同時工作流程會因此被切割。
以我們展示John在未使用PassiveTotal前如何進行調查工作。
以LazarusGroup攻擊波蘭銀行業事件中,IDS(入侵偵測系統)標識出的惡意IP作為案例:109[.]164[.]247[.]169。
John會先開啟網域工具查找該IP的WHOIS記錄,以獲取諸多WHOIS相關訊息,如IP解析出的HOST、WHOIS紀錄、註冊人及其email…等。
同時他會開啟另一個分頁,用Mnemonic對此IP的被動DNS紀錄做查找,這幫助他了解有哪些Domain與此IP有關聯。
為了瞭解此IP是否有任何來自OSINT(公開來源情報)的資訊,他會開啟多個分頁以從多方查找,如Phishtank、FireEyeblog、Facebook、threatexchange…等。
接下來,開啟VirusTotal,對先前從Mnemonic找到的domain做hash值比對。
至此,John對此IP有了相當程度的掌握-WHOIS資訊、被動DNS紀錄、OSINT、Hash等。
示範的流程展示了各種資料來源的使用,然而在實際的調查進行中,每一個來源,都可能衍伸更多的入侵指標,John必須要花更多在時間做深入研究。
由於交叉比對、跳躍的瀏覽,每個來源分析至少要花費10-15分鐘的時間。
在了解到傳統的作業流程後,以下我們來看看John及他的團隊使用PassiveTotal,同樣的調查是如何進行。
同樣針對可疑IP:109[.]164[.]247[.]169。
將IP輸入至PassiveTotal平台進行查找,John馬上可以得到整合了WHOIS和被動DNS資料的熱圖(Heapmap),將該IP於各時間點與Domain的關聯視覺化呈現出來。
基於熱圖上不同時期的變化,John可以調整並收斂調查範圍。
歷來解析的IP/Domain都在下方Resolutions分頁列表,John在同一個畫面即可快速瀏覽所有的紀錄,找尋蛛絲馬跡。
平台上的資訊皆可點及並直接查找,包含WHOIS中的Email、名稱、註冊電話…等。
於此直接點擊Resolutions分頁上的結果,第一筆‘sap.misapor.ch’,即會自動執行對該Domain的查詢如下圖。
PassiveTotal整合種類豐富的資料集,調查中常使用包括:
WHOIS
SSLCertificates
Malware
OSINT
Trackers
整體來說,包含了被動DNS、WHOIS、SSLCertificates、Malware、OSINT、Trackers、HostPairs、WebComponents、DNS等。
這些資料集的統整,使建構一個全面的調查研究變得相當快速,免除了多方收集資訊、整合零碎資訊所耗費的人力與時間。
最終,僅需數分鐘即可完成調查流程。
PassiveTotal的使用者經驗
使用PassiveTotal進行調查花費的時間被大幅減少。
由於PassiveTotal整合不同的資料來源於單一平台甚至畫面,幫助分析師不再需要四處瀏覽或訂閱多種資訊來源。
除了時間上的節省,資料的全面性也被眾多使用者認可,PassiveTotal能夠擁有全面的資料集,是基於RiskIQ獨家的技術-虛擬使用者(VirtualUser)所爬找的大量資料。
例如,HostPairs資料集的產生是透過爬蟲尋找頁面架構,識別參考此頁面的來源、或是重新導向至其他網站。
提到Hostpairs,其資料對調查波蘭銀行業的攻擊事件起了很大的作用,幫助確認了攻擊的起始點源於外部資源,惡意domain(sap.misapor.ch)透過iframe連結到了合法的波蘭銀行。
以下可以看到RiskIQ的爬蟲觀察到KNF網站透過iframe指向了兩個惡意URL:
[http]://sap.misapor.ch/vishop/view.jsp?pagenum=1
[https]://www.eye-watch.in/design/fancybox/Pnf.action
為威脅調查而存在的PassiveTotal
我們提及了HostPairs帶來的幫助,另還有像Trackers的value值可協助我們做偽冒或釣魚網站的判斷;DNS紀錄提供多類型(MX,NS,TXT,SOA,andCNAME)紀錄以擴展鑑識的方向…等,PassiveTotal不斷擴展的資料集,幫助分析師勾勒出攻擊者的基礎設施(infrastructure)。
平台更有監控的功能,資安團隊可以在DNS、網域解析、WHOIS註冊資訊、甚至是關鍵字,發生任何變化時即收到告警通知;完整的專案控管流程,讓團隊對事件快速建立協同作業。
這一切功能的設計,就是要幫助分析師及團隊能夠高效、靈活的進行調查工作。
數位資安所獨家代理數位威脅管理的領導品牌-RiskIQ,提供PassiveTotal平台協助用戶進行網路攻擊的鑑識分析。
於RiskIQ官網可註冊社群版試用(https://www.passivetotal.org/),如需更多資訊、對平台有任何疑問,歡迎隨時聯繫數位資安。
本文參考https://www.riskiq.com/blog/analyst/threat-analyst-using-passivetotal/
數位資安系統股份有限公司
提供您最具前瞻性的世界級尖端資訊安全解決方案!
www.iSecurity.com.tw/[email protected].:+886277021088
熱門新聞
DrayTek路由器遭爆含有遠端程式攻擊漏洞
2022-08-05
【資安週報】2022年8月1日到8月5日
2022-08-05
唐鳳擔任首任數位發展部長,數發部預計8月27日正式掛牌
2022-08-05
新一代資安分享標準TLP2.0問世
2022-08-05
偷偷加入抓漏競賽的丹麥學生找到Cloudflare未上市服務漏洞
2022-08-05
【資安日報】2022年8月5日,高雄市環保局網站被植入五星旗、國防部與外交部網站再度癱瘓
2022-08-05
思科修補中小企業路由器2重大漏洞
2022-08-05
微軟更新VSCodePython擴充套件,加入網頁應用程式自動除錯配置
2022-08-05
Advertisement
專題報導
【iThome2022CIO大調查(上)】企業永續新常態下一步
備份應用的資料減量革命
電子病歷上雲開放了
臺灣數位貨幣新進展
千億營收電商的SRE之旅
更多專題報導
延伸文章資訊
- 1Indicators of Compromise (IOCs) - Fortinet
- 2Indicators of Compromise (IOC) Security - CrowdStrike
An Indicator of Compromise (IOC) is a piece of digital forensics that suggests that an endpoint o...
- 3What is an indicator of compromise (IoC)?
In the field of computer security, an Indicator of compromise (IoC) is an object or activity that...
- 4Indicators of Attack Vs. Indicators of Compromise - CrowdStrike
An IOC is often described in the forensics world as evidence on a computer that indicates that th...
- 5資安分析師的日常 - iThome
他所在的SOC團隊位於隸屬於公部門組織,使用RiskIQ PassiveTotal調查入侵指標(Indicators of Compromise,IOC),透過PassiveTotal,他們在回...