威胁情报之开源情报搜集

Posted 2023-03-20

参考技术A 根据Gartner对威胁情报的定义，威胁情报是某种基于证据的知识，包括上下文、机制、标示、含义和能够执行的建议，这些知识与资产所面临已有的或酝酿中的威胁或危害相关，可用于资产相关主体对威胁或危害的响应或处理决策提供信息支持。本文所说的威胁情报属于狭义的威胁情报，其主要内容为用于识别和检测威胁的失陷标识，如文件HASH，IP，域名，程序运行路径，注册表项等，以及相关的归属标签。

2.1注册VirusTotal账户，VT提供一个免费的API，可以进行IP，Domain，File类信息的查询，免费账户有查询速率限制，每分钟查询四次限制，可以注册多个账户轮训。

目前国内外主流的安全公司都有自己的威胁情报业务，例如VT，360，奇安信，微步在线，天际友盟等。关于IP，domain的部分情报实际上来自于恶意样本在沙箱中的网络行为，可以利用开源沙箱 Cuckoo 分析恶意样本，实现IOC的生产。

可以部署蜜罐进行IOC的生产和相关Tag的标注，这边推荐我使用过的开源蜜罐 HFish

国内的安全厂商都会定期更新安全分析文章，文章末尾有高质量IOC，可以利用爬虫技术实现对公开安全报告中的IOC实现爬取。

可以通过订阅一些免费的开源情报平台获取高质量的威胁情报

AlienVault 开放威胁交换(OTX)是全球权威的开放威胁信息共享和分析网络。OTX提供了一个由威胁研究人员和安全专业人员组成的全球社区，有来自140个国家的5万多名参与者，每天贡献400多万个威胁指标。

Twitter等国外社交媒体上经常有第一手的攻击信息，实效性强，老外的研究成果确实要领先于国内，经常出现国外前一天发布，国内第二天炒冷饭的情况，但是此类信息的缺点同样明显：信息准确性未经验证，信息碎片化，难以规范化。