資安分析師的日常 - iThome

他所在的SOC團隊位於隸屬於公部門組織，使用RiskIQ PassiveTotal調查入侵指標（Indicators of Compromise，IOC），透過PassiveTotal，他們在回報資安 ... 移至主內容 文/廠商新聞稿 | 2017-08-09發表 John是SOC團隊中的一位威脅分析師。

他所在的SOC團隊位於隸屬於公部門組織，使用RiskIQPassiveTotal調查入侵指標（IndicatorsofCompromise，IOC），透過PassiveTotal，他們在回報資安事件時大幅降低了誤報率。

PassiveTotal中擁有大量不同面向且獨特的資料集，透過RiskIQ的分析整理使這些資料產生有意義的關聯，能有效幫助調查的進行。

勾勒出潛在的連結、分群類似的攻擊活動、並對調查的假設做佐證。

過去John的團隊須利用各式不同的工具來進行調查，因此在作業上會需要相當的時間去手動整合、同時工作流程會因此被切割。

以我們展示John在未使用PassiveTotal前如何進行調查工作。

以LazarusGroup攻擊波蘭銀行業事件中，IDS（入侵偵測系統）標識出的惡意IP作為案例：109[.]164[.]247[.]169。

John會先開啟網域工具查找該IP的WHOIS記錄，以獲取諸多WHOIS相關訊息，如IP解析出的HOST、WHOIS紀錄、註冊人及其email…等。

同時他會開啟另一個分頁，用Mnemonic對此IP的被動DNS紀錄做查找，這幫助他了解有哪些Domain與此IP有關聯。

為了瞭解此IP是否有任何來自OSINT（公開來源情報）的資訊，他會開啟多個分頁以從多方查找，如Phishtank、FireEyeblog、Facebook、threatexchange…等。

接下來，開啟VirusTotal，對先前從Mnemonic找到的domain做hash值比對。

至此，John對此IP有了相當程度的掌握－WHOIS資訊、被動DNS紀錄、OSINT、Hash等。

示範的流程展示了各種資料來源的使用，然而在實際的調查進行中，每一個來源，都可能衍伸更多的入侵指標，John必須要花更多在時間做深入研究。

由於交叉比對、跳躍的瀏覽，每個來源分析至少要花費10-15分鐘的時間。

在了解到傳統的作業流程後，以下我們來看看John及他的團隊使用PassiveTotal，同樣的調查是如何進行。

同樣針對可疑IP：109[.]164[.]247[.]169。

將IP輸入至PassiveTotal平台進行查找，John馬上可以得到整合了WHOIS和被動DNS資料的熱圖（Heapmap），將該IP於各時間點與Domain的關聯視覺化呈現出來。

基於熱圖上不同時期的變化，John可以調整並收斂調查範圍。

歷來解析的IP/Domain都在下方Resolutions分頁列表，John在同一個畫面即可快速瀏覽所有的紀錄，找尋蛛絲馬跡。

平台上的資訊皆可點及並直接查找，包含WHOIS中的Email、名稱、註冊電話…等。

於此直接點擊Resolutions分頁上的結果，第一筆‘sap.misapor.ch’，即會自動執行對該Domain的查詢如下圖。

PassiveTotal整合種類豐富的資料集，調查中常使用包括： WHOIS SSLCertificates Malware OSINT Trackers 整體來說，包含了被動DNS、WHOIS、SSLCertificates、Malware、OSINT、Trackers、HostPairs、WebComponents、DNS等。

這些資料集的統整，使建構一個全面的調查研究變得相當快速，免除了多方收集資訊、整合零碎資訊所耗費的人力與時間。

最終，僅需數分鐘即可完成調查流程。

PassiveTotal的使用者經驗 使用PassiveTotal進行調查花費的時間被大幅減少。

由於PassiveTotal整合不同的資料來源於單一平台甚至畫面，幫助分析師不再需要四處瀏覽或訂閱多種資訊來源。

除了時間上的節省，資料的全面性也被眾多使用者認可，PassiveTotal能夠擁有全面的資料集，是基於RiskIQ獨家的技術－虛擬使用者（VirtualUser）所爬找的大量資料。

例如，HostPairs資料集的產生是透過爬蟲尋找頁面架構，識別參考此頁面的來源、或是重新導向至其他網站。

提到Hostpairs，其資料對調查波蘭銀行業的攻擊事件起了很大的作用，幫助確認了攻擊的起始點源於外部資源，惡意domain（sap.misapor.ch）透過iframe連結到了合法的波蘭銀行。

以下可以看到RiskIQ的爬蟲觀察到KNF網站透過iframe指向了兩個惡意URL： [http]://sap.misapor.ch/vishop/view.jsp?pagenum=1 [https]://www.eye-watch.in/design/fancybox/Pnf.action 為威脅調查而存在的PassiveTotal 我們提及了HostPairs帶來的幫助，另還有像Trackers的value值可協助我們做偽冒或釣魚網站的判斷；DNS紀錄提供多類型（MX,NS,TXT,SOA,andCNAME）紀錄以擴展鑑識的方向…等，PassiveTotal不斷擴展的資料集，幫助分析師勾勒出攻擊者的基礎設施（infrastructure）。

平台更有監控的功能，資安團隊可以在DNS、網域解析、WHOIS註冊資訊、甚至是關鍵字，發生任何變化時即收到告警通知；完整的專案控管流程，讓團隊對事件快速建立協同作業。

這一切功能的設計，就是要幫助分析師及團隊能夠高效、靈活的進行調查工作。

數位資安所獨家代理數位威脅管理的領導品牌－RiskIQ，提供​PassiveTotal平台協助用戶進行網路攻擊的鑑識分析​。

於RiskIQ官網可註冊社群版試用（https://www.passivetotal.org/），如需更多資訊、對平台有任何疑問，歡迎隨時聯繫數位資安。

本文參考https://www.riskiq.com/blog/analyst/threat-analyst-using-passivetotal/ 數位資安系統股份有限公司 提供您最具前瞻性的世界級尖端資訊安全解決方案！ www.iSecurity.com.tw/[email protected].:+886277021088 熱門新聞 DrayTek路由器遭爆含有遠端程式攻擊漏洞 2022-08-05 【資安週報】2022年8月1日到8月5日 2022-08-05 唐鳳擔任首任數位發展部長，數發部預計8月27日正式掛牌 2022-08-05 新一代資安分享標準TLP2.0問世 2022-08-05 偷偷加入抓漏競賽的丹麥學生找到Cloudflare未上市服務漏洞 2022-08-05 【資安日報】2022年8月5日，高雄市環保局網站被植入五星旗、國防部與外交部網站再度癱瘓 2022-08-05 思科修補中小企業路由器2重大漏洞 2022-08-05 微軟更新VSCodePython擴充套件，加入網頁應用程式自動除錯配置 2022-08-05 Advertisement 專題報導 【iThome2022CIO大調查(上)】企業永續新常態下一步 備份應用的資料減量革命 電子病歷上雲開放了 臺灣數位貨幣新進展 千億營收電商的SRE之旅 更多專題報導