收集网络威胁情报的5种技术

~ 你是沿途，有青山举杯 ~

为了保护您的组织免受网络威胁，您需要清楚地了解当前的威胁态势。这意味着不断扩展您对新的和持续的威胁的了解。

分析师可以使用多种技术来收集关键的网络威胁情报。以下是五种技术，它们可以大大改进您的威胁调查方法：

1.以C2 IP地址为中心查明恶意软件

恶意软件与其命令和控制（C2）服务器通信时使用的IP地址是宝贵的指标。这些地址不仅帮助更新防御措施，还能识别威胁行为者的相关基础设施和工具。

通过透视方法，分析师可以使用现有指标找到有关手头威胁的其他上下文。这涉及到使用各种来源，包括存储大量新威胁数据并提供搜索功能的威胁情报数据库。

一个有用的工具是ANY.RUN的威胁情报查找服务。该服务允许您使用40多种不同的查询参数搜索其数据库，例如网络指示器（IP地址、域名）、注册表和文件系统路径、特定威胁名称、文件名和哈希。

ANY.RUN提供与查询中的指示器或构件关联的数据，以及找到数据的沙盒会话。这有助于分析师将特定指标或其组合与特定攻击联系起来，发现其上下文，并收集重要的威胁情报。

例如，使用IP地址162.254.34.31作为查询的一部分，可以发现此IP已与恶意活动相关联，特别是与AgentTesla威胁有关。该服务还显示与指示器相关的域和端口，恶意软件在连接到此地址时使用。

我们还能获得其他信息，如文件、同步对象（互斥体）、ASN以及在涉及相关IP地址的沙盒会话中发现的触发的Suricata规则。

我们还可以导航到发现IP的沙盒会话之一，以查看整个攻击并收集更多相关信息，并重新运行样本分析以实时研究它。

2. 使用URL暴露威胁行为者的基础设施

检查域和子域可以提供有关用于托管恶意软件的URL的宝贵信息。另一个常见用例是识别网络钓鱼攻击中使用的网站。通过分析这些域，分析师可以发现模式并发现攻击者使用的更广泛的基础设施。

例如，Lumma恶意软件使用以“.shop”结尾的URL来存储恶意负载。通过将此指标与威胁名称一起提交给TI Lookup，我们可以放大恶意软件攻击中使用的最新域和URL。

3. 通过特定MITRE TTP识别威胁

MITRE ATT&CK框架是对手战术、技术和程序（TTP）的综合知识库。使用特定的TTP作为调查的一部分可以帮助您识别新出现的威胁。主动构建有关当前威胁的知识有助于您为将来的潜在攻击做好准备。

ANY.RUN提供了在ANY分析的数千个恶意软件和网络钓鱼样本中检测到的最流行TTP的实时排名。我们可以选择任何TTP并将其提交以在TI Lookup中进行搜索，以查找找到其实例的沙盒会话。

4. 使用YARA规则收集样本

YARA是一种工具，用于根据文本或二进制模式创建恶意软件系列的描述。YARA规则可能会查找具有特定恶意软件系列特征的特定字符串或字节序列。此技术对于自动检测已知恶意软件和快速识别具有相似特征的新变体非常有效。

TI Lookup等服务提供内置的YARA搜索，可让您上传、编辑、存储和使用自定义规则来查找相关示例。

我们可以对XenoRAT（一种用于远程控制和数据盗窃的流行恶意软件系列）使用YARA规则来发现这种威胁的最新样本。除了与规则内容匹配的文件外，该服务还提供沙盒会话，以便在更广泛的上下文中浏览这些文件。

5. 发现包含命令行工件和进程名称的恶意软件

通过命令行工件和进程名称识别恶意软件是一种有效但不常见的技术，因为大多数威胁情报来源不提供此类功能。

ANY.RUN的威胁情报数据库通过从实时沙盒会话中获取数据而脱颖而出，提供对真实命令行数据、进程、注册表修改以及在沙盒中执行恶意软件期间记录的其他组件和事件的访问。

例如，我们可以将Strela窃取程序使用的命令行字符串与net.exe进程一起使用来访问其远程服务器上名为“davwwwroot”的文件夹。TI查找提供了在沙盒会话中找到的大量示例、文件和事件，这些示例、文件和事件与我们的查询匹配。我们可以使用这些信息来提取有关我们面临的威胁的更多见解。

集成ANY.RUN的威胁情报查找

为了加快和提高威胁研究工作的质量，您可以使用TI Lookup。

原文：

https://thehackernews.com/2024/10/5-techniques-for-collecting-cyber.html

往期推荐