1、杨帆杨帆斗象科技高级安全研究员威胁情报挖掘浅谈目录PART ONE不同视角下的威胁情报挖掘PART TWO威胁情报挖掘基础PART THREE威胁情报挖掘思路PART FOUR威胁情报挖掘案例PART ONE不同视角下的威胁情报挖掘不同视角下的漏洞情报挖掘威胁情报挖掘基础漏洞or情报PART TWO威胁情报挖掘基础威胁情报挖掘基础威胁情报挖掘基础威胁情报挖掘基础为什么需要威胁情报?攻防不对等威胁情报挖掘基础威胁情报关于IT或信息资产所面临的现有或潜在威胁的循证知识包括情境、机制、指标、推论与可行建议这些知识可为威胁响应提供决策依据威胁情报挖掘基础威胁情报挖掘基础技术情报What入侵事件/行为拒
2、绝服务攻击流量劫持新型可利用工具、平台伪冒集团业务系统Who威胁组织信息Where产品业务接口How0day漏洞新型病毒、木马、蠕虫安全检测规则绕过新型攻击方法威胁情报挖掘基础业务情报What敏感信息泄露账号安全事件Who威胁组织信息Where产品业务How业务检测规则绕过恶意行为实名认证绕过新型利用方法威胁情报挖掘基础PART THREE威胁情报挖掘思路威胁情报挖掘思路前提:广泛的信息来源1.各种破解论坛社区2.技术博客3.个别科技分享论坛4.薅羊毛网站、论坛、各种群5.某些二手交易平台6.drakweb交易网站1.恶意邮件、恶意终端文件、IPS/WAF攻击日志、蜜罐攻击日志、其他来源2.入
3、侵成功事件,窃密、勒索、挖矿等3.黑客线索,APT、钓鱼、挖矿等威胁情报挖掘思路建立自己的信息来源库1、社交软件群+关键词监控2、各种网站+RSS订阅/爬虫监控3、各厂商对应业务活动发布页面监控4、日常/社区提供的恶意样本分析威胁情报挖掘思路威胁情报挖掘思路威胁情报挖掘思路直接提交技术层面-逆向破解-研究原理分析对应C2/找到利用点-提出修复方案业务层面-购买app资格-打入内部-争取代理-线索挖掘分析相关团伙-提交情报PART FOUR威胁情报挖掘案例威胁情报挖掘案例利用WinRAR漏洞盗取比特币的远控情报利用winrar漏洞CVE-2018-20250传播AsyncRAT远控木马威胁情报挖
4、掘案例利用WinRAR漏洞盗取比特币的远控情报威胁情报挖掘案例利用WinRAR漏洞盗取比特币的远控情报威胁情报挖掘案例利用WinRAR漏洞盗取比特币的远控情报威胁情报挖掘案例利用WinRAR漏洞盗取比特币的远控情报威胁情报挖掘案例利用WinRAR漏洞盗取比特币的远控情报IOC(IP/Domain/URL)IOC情报类型上传样本CC21104bd34b6383a2f88a4fa21fd95814cf6a0831a896f95ffda9212c554685de0trytotrackme.pw矿池1e88b884d5598dbdea440efd4102ef226ff6f55a7267c1d4ae62
5、a697c09ca446trytotrackme.pw矿池9a54905a14b496bfe8197308edcae68bf31f42f608fc42f3c7aef2f9ee7b8682威胁情报挖掘案例一次服务器被入侵的应急响应事件分析爆破进后台上传webshell提权后门窃取账号密码ssh登陆植入木马威胁情报挖掘案例一次服务器被入侵的应急响应事件分析威胁情报挖掘案例一次服务器被入侵的应急响应事件分析C&C域名域名注册商注册时间子域名GoD,LLC2018-03-28linux、rootkit、ddos、xj、GoD,LLC2018-03-28ssh、powershell、GoD,LLC201
6、7-05-18mail、mial、news、vpn、xj-GoD,LLC2015-08-12img、zzz、yk、GoD,LLC2015-08-12jj、qq、tt、xz、yk威胁情报挖掘案例一次服务器被入侵的应急响应事件分析威胁情报挖掘案例一次服务器被入侵的应急响应事件分析webshell威胁情报挖掘案例一次服务器被入侵的应急响应事件分析威胁情报挖掘案例一次服务器被入侵的应急响应事件分析威胁情报挖掘案例一次服务器被入侵的应急响应事件分析IOC(IP/Domain/URL)IOC情报类型上传样本CC矿池矿池Malwaref2e369ca32e375235b15cafd87c15325660a2e383db61248b026cf14bf90c0a1威胁情报挖掘案例A平台充值刷取某支付会员积分威胁情报挖掘案例某会员优惠规则不完善,可多次使用威胁情报挖掘案例某电商双9折北京消费券叠加使用导致大批量薅羊毛