什麼是威脅情報

根據 對威脅情報的定義，威脅情報是某種基於證據的知識，包括上下文、機制、標示、含義和能夠執行的建議，這些知識與資產所面臨已有的或醞釀中的威脅或危害相關，可用於資產相關主體對威脅或危害的響應或處理決策提供資訊支援。業內大多數所說的威脅情報可以認為是狹義的威脅情報，其主要內容為用於識別和檢測威脅的失陷標識，如檔案 ，IP， ，程式執行路徑， 項等，以及相關的歸屬標籤。

以上這段話抄自百度百科，本質上表達了廣義的威脅情報是一種威脅資訊支援，而狹義上的威脅情報是一種失陷相關的指標。透過威脅情報的獲取難度，不同型別的威脅情報常用該金字塔模型進行難度分級。

威脅情報有什麼用

其實這個問題，是每個威脅情報從業人員必須思考的，威脅情報有什麼用？下面給出我個人的答案。威脅情報有什麼用，其實需要跟業務需求場景相結合。如果業務需要去發現失陷的資產，那麼惡意的檔案hash，外連的遠控IP或者域名，能為該場景提供相關的威脅資訊支援。如果業務關注的是所有外部網路請求中，有哪些是可疑的攻擊者，是定向攻擊或者是大範圍自動化掃描攻擊，那麼惡意的入站IP情報，能提供相關的威脅資訊支援。如果業務關注爬蟲相關的安全風控需求，那麼代理IP、秒撥IP，惡意郵箱賬號、惡意手機號等情報能提供相關的威脅資訊支援。如果業務關注最新的漏洞或者外部披露的高階威脅事件，那麼漏洞、惡意家族甚至apt等相關的情報事件訂閱，可以提供相關的威脅資訊支援。如果業務需要關注內部是否有透過tor網路進行加密的資料竊取，那麼tor節點IP的情報可以提供相關的威脅資訊支援。以上舉了一些常見的威脅情報應用場景，主要是為了說明，威脅情報的作用，本質上是取決於業務需求，業務需求不同，需要的威脅情報的種類不同，發揮的作用也不同，但本質上都是一種威脅資訊支援。

如何生產威脅情報

從上文其實聊到了威脅情報的種類是有很多的，所以相對應的生產方式是有所區別的，但是本質上是資料的獲取和挖掘能力，對很多安全廠商而言，往往資料是威脅情報的瓶頸，只有具備了全方位多領域的安全大資料，才能生產出優質的威脅情報。而評價威脅情報的質量好壞，一般可以從這三個指標入手，分別是惡意性、關聯性、更新率。惡意性指的是判定該情報具備威脅的惡意證據，是否是多維度的，誤報率是否是生產環境所能接受的，如果做不到強依據的惡意性判定，只會導致生產環境大量的誤報，徒增安全運營成本。關聯性，是指該情報所關聯的上下文資訊是否足夠豐富，能提供更多輔助的判斷依據和資訊。最後是更新率，威脅情報有一定的生命週期，比如一個遠控的域名或者IP可能會過期，及時的威脅情報回掃和更新，以確保在使用時其仍然是一個惡意的威脅指標。

除了資料之外，緊接著才是生產威脅情報的方法，下面我們將討論有哪些威脅情報的生產方法，可以用來生產不同種類的威脅情報。

開源情報法

網路上有不少安全公司或者威脅情報從業人員會不定期公開一些情報，這些統稱為開源情報（業內常稱為OSINT），其中包括網際網路上惡意的掃描攻擊IP，遠控域名/IP（業內常稱為C2），惡意的樣本，惡意家族威脅事件，新的公開漏洞，比如cve、cnvd，網際網路上的tor節點，這些都是可以透過訂閱或者爬取獲得。當然，獲得的這些開源情報，不能直接用於生產環境，必須結合自身的情報生產流程，做進一步的校驗，確定其目前仍然是惡意，並且豐富其上下文資訊，才可以用於生產環境。

防毒引擎法

具備防毒引擎產品或能力的企業，可以從檔案的靜態惡意特徵，或者端上惡意的行為，去判斷一個檔案是不是惡意的，從而獲得惡意的檔案HASH情報。常見的惡意檔案情報，其實也分為pc端和伺服器端的，環境不同，能獲取到的檔案種類和數量其實也不同。個人pc端，大部分是使用者從網頁上下載的惡意檔案，如一些盜版或破解軟體，這些很可能被植入了病毒，還有不少透過電子郵件或社交軟體傳送的釣魚病毒軟體。而伺服器端捕獲的檔案，更多是駭客在雲上自動化掃描攻擊後植入的挖礦病毒、勒索病毒和遠控木馬等惡意檔案。因此，在惡意檔案HASH情報層面，像微軟和騰訊等公司，在pc端和雲伺服器端，具有雙邊優勢。360、火絨等公司在個人pc端優勢較大。阿里雲、AWVS等雲廠商則在雲伺服器端的優勢較大。端上的防毒引擎，除了可以捕獲到惡意樣本，也能透過該惡意樣本的行為，從而關聯到C2等惡意情報，比如一個惡意樣本，啟動了powershell去下載惡意的指令碼，那麼這個url很大程度上就是惡意的。

動態沙箱法

其實沙箱也是許多防毒引擎的模組之一，主要是透過提供一個相對隔離的環境去執行樣本，從而獲取該樣本執行過程中的行為，從而去判斷其是否惡意。這裡之所以要單獨拎出來講，是因為有許多公司並沒有生產並對外售賣防毒引擎，因此沒有樣本優勢用於生產威脅情報，但是他們可以透過自研並開放沙箱，從而獲取使用者自行提交的樣本，也可以透過付費計劃去向virustotal這類公司購買大量的樣本，進而去生產威脅情報。據我瞭解，沙箱其實也是國內知名情報廠商微步的主要生產方式之一。透過動態沙箱，我們除了可以捕獲樣本執行時的惡意行為，從而去判斷該檔案是否惡意，也可以透過沙箱的網路捕獲能力，獲取惡意樣本通訊的可疑域名/IP。

網路流量法

不少公司可以透過流量安全產品，發現網路流量中惡意的攻擊，非法的外連，如防火牆，WAF等安全產品，可以透過安全告警去生產相應的惡意入站情報和惡意遠控C2情報，WAF還可以生產BOT IP，惡意郵箱賬號，手機號等業務安全相關的情報，透過這種方式還可以保留威脅事件發生時的上下文資訊，比如該惡意攻擊IP是使用什麼漏洞進行攻擊，該遠控C2是透過什麼後門協議進行通訊，這些都能為情報的判研和運營提供更多的上下文依據支撐。甚至可以透過樣本分析，挖掘出惡意家族在C2通訊時的特徵，進而在流量安全產品下發策略，持續地捕獲該惡意家族的C2情報。比如H2Miner挖礦家族在與其C2通訊的過程中，會在http頭部附帶一些固定的欄位用於上傳受害者機器的相關資訊，方便後續的命令控制。又或者透過下發挖礦協議的檢測策略，去捕獲礦池惡意IP等威脅情報。

蜜罐法

蜜罐常被用於模擬脆弱的機器環境，並暴露高危的埠和服務，從而引誘攻擊。我們可以在雲上部署大量的蜜罐，去捕獲雲上的自動化掃描攻擊，或者新型漏洞的在野利用，也可以捕獲大量的殭屍網路和蠕蟲病毒。因此透過蜜罐，我們可以收集到雲上的惡意資料，並且進入到自己的威脅情報生產流程中，進一步判研。當然，如果你是雲廠商，大可不必透過這種方式，因為雲上的機器，就是最真實的“蜜罐”，每天都會有大量的機器被惡意攻擊和入侵，透過旁路流量安全裝置，結合端上安全引擎，即可捕獲所需的惡意情報資料。

主動掃描法

主動掃描法常用來發現網際網路上的遠控C2，核心思想是透過對一些遠控框架的分析，比如Cobalt Strike遠控伺服器，以及github上大量的開源遠控框架，發現其暴露的特定訪問路徑，或者對特定協議的響應，透過主動掃描的方法，去獲取相關的C2情報。比如360的網路空間資產發現系統上，就有C2伺服器相關的掃描專題，目前支援十多種C2伺服器的掃描和發現， 。

關聯演算法

以上的情報生產方法，各廠商大同小異，真正的差異化，其實是如何基於已有的安全大資料和威脅情報，利用關聯演算法，持續地去發現和生產更多的威脅情報，騰訊威脅情報團隊在這方面有不少的研究和實踐。比如《騰訊安全威脅情報中心“明廚亮灶”工程：自動化惡意域名檢測揭秘》 ，核心思想是透過知識圖譜將樣本、域名、IP、URL等資料進行關聯，並結合專家經驗提取的各種黑白特徵，再結合機器學習和演算法，自動化地學習出更多的黑白特徵，並將這些IOC的惡意性進行傳遞和擴散，最後再透過惡意值進行打分和收斂，最後進入人工運營階段，除了運營生產出來的新的威脅情報，還能運營出更多新的黑白特徵。打個比方，一個惡意的樣本，通訊的IP或者域名是可疑的，一個域名上下載的多數樣本是惡意的，那麼其餘的樣本大機率也是惡意的。當一個域名被大量使用者訪問時，比如Google和百度等搜尋引擎會公開站點的Alexa TOP排名資料，這就是一個白特徵，命中白特徵，惡意性打分值就會下降，而當一個域名或者IP與大量惡意樣本關聯上時，其惡意性打分值就會上升。類似的惡意性傳遞，以及黑白特徵有很多，暫時不展開細講。

情報家族化

情報家族化其實不算是一種情報生產方法，但這是威脅情報團隊都比較關注的點，當一個情報被打上惡意家族的標籤，往往意味著該情報的惡意性和可信度更高。那麼我們該如何生產家族化的情報？常見的有以下幾種方法：一、透過運營TTPs特徵，一般來說一個家族所採用的攻擊手法，在端上所體現的攻擊流程，比如對一些特定登錄檔的操作，對一些檔案的加密等行為具有偏好，透過運營不同家族的TTPs特徵，可針對性地收集該家族的樣本等情報。二、透過樣本聚類法，利用已有的家族化樣本，透過靜態特徵上的相似度，去聚類和發現該惡意家族更多的樣本，同時利用動態沙箱對這些初步分類好的惡意樣本進行網路通訊的捕獲，也可以發現這些家族新增的C2。三、C2通訊協議分析法，其實上文有提到，一個惡意家族在進行C2通訊的時候，往往是有特徵，並且是相似的，運營不同惡意家族在C2通訊上的特徵，可以發現該家族新增的C2。

如何用好威脅情報

以上就是威脅情報生產常用的方法，本質上是資料獲取和挖掘。當我們有了這些威脅情報，以及其上下文關係後，我們該如何用好這些威脅情報？這其實也是不少使用威脅情報的甲方所關心的命題。通常來說，威脅情報生產出來後，會透過以下五種方式進行業務賦能，一是透過api查詢情報的方式，二是透過提供威脅情報查詢平臺的方式，展示更加直觀，三是透過情報訂閱的方式，比如漏洞情報、惡意家族威脅事件等，四是透過部署TIP/TDP等威脅情報檢測和查詢系統到生產環境中，透過威脅情報匹配的方式，發現流量中可疑的安全事件，五是透過SDK的方式，將威脅情報整合到其餘的安全產品中以賦能，比如整合到防火牆中，可以訪問的IP打上威脅情報相關的標籤等。大體上來說，這類威脅情報一般用於告警、攔截或者打標。關於威脅情報的最佳實踐，一方面取決於威脅情報的質量，另一方面應該更關注於情報的聯動處置。比如，與端上EDR等安全產品聯動，當主機外連一個C2時，不敢輕易攔截，擔心誤報而影響業務，但是當這個外連程式同時命中惡意檔案HASH情報，以及C2外連情報時，誤報的機率就會小很多，可以考慮上自動攔截策略。又比如一臺主機在產生多個命令執行等端上告警後，命中了一個C2情報，並且該情報是首次在業務中命中，那麼誤報的可能性就會極小，可以考慮自動攔截。總之，業務在使用威脅情報的時候，應該結合具體的業務場景，去設定一些聯動處置，一開始可以是觀察告警模式，再逐步灰度到自動攔截模式。