简介
在第1部分在本系列中,我们看到了如何在对手的基础设施上搜索可以为SOC团队提供重要的帮助,以了解敌对实体可能针对受害者部署的资源,以便为防御或事件响应设置检测或阻塞规则。我们看到,为了尽可能清晰地描绘恶意活动,有必要丰富现有的日志数据,以便收集元数据,以帮助建立连接的基础,阐明我们最初以单个域名或IP地址的形式瞥见的更大结构。我们也看到了这个过程的一部分是如何实现自动化的,特别是在用注册、托管、内容和风险数据丰富域名的领域。
从wolf(单个域)转移到pack(由给定实体控制的一组基础设施)的过程涉及到在各种数据点上的旋转。旋转是大多数SOC人员熟悉的过程;它可以在不同的工具和不同的重点领域中完成,从文件到主机到网络到事件的受害者和对手方的组织。正如我们在第1部分, DomainTools Iris提供“支点计数”信息,以指导调查人员(或脚本)走向最有可能获得回报的支点。
明确的可能
如果我们接受pivot计数中存在一个最佳点的断言,那么对于大多数研究,我们可以忽略任何与之相连的域为零或太多的数据点。一个有40万个域名共享的IP地址不是一个好的支点,像“滥用@”这样的通用电子邮件地址也不是一个好的支点
以域为例occert。电子邮件该软件嵌入了一个欺骗一家知名银行的网络钓鱼软件中。它的域风险评分为79,表明DomainTools的风险评分算法发现它具有与恶意域类似的属性,尽管至少在撰写本文时,它还没有登上行业屏蔽列表。从虹膜的截图中,我们可以看到被引导的(仅有的)两个轴心之一是IP地址。(引导轴在UI中通过蓝色高亮显示。)
这个IP的轴心数在这个最佳点内;在本例中,我们的阈值配置为500,因此任何域大于0但小于500的数据点都将突出显示。如果我们以那个IP地址为中心,我们会看到什么?
作为一个导向的支点,它勉强达到了要求:492个连接域。虽然平均域风险得分为73,但在这个支点背后肯定有一些可疑的基础设施。IP上的域的预览可以让我们更好地了解它的性质。
域名连接到199.188.205[。245个是按风险分数排序的,所有在这里可见的都进入了区块列表,因此得分为100。和人类可以在瞬间分辨出自动化更难处理的事情:这里有很多令人讨厌的事情.域名如wb-secure24[。] xyz和t-mobile-ticket[。他们明确表示,这是一个充满敌意的互联网板块。风险评分也增加了重要的背景;如t-mobile-ticket[。]co很可能属于T-Mobile。如果它的风险评分为零,或者是一个极低的数字,那么它就不一定值得太多的怀疑。
人类调查人员很可能决定采用这个支点并将492个域添加到搜索中,因为这些域与我们开始的域(occert[.]email)处于相同的控制之下的可能性是不可忽略的。这组域将是一个合理的日志查询:受保护环境中是否有任何主机调用到任何过去的那些域名?创建针对这些域的屏蔽规则也是合理的,特别是如果我们将列表过滤到风险评分范围最高的那些域。可能的情况是,这样的块不会妨碍合法的业务功能,如果occert[。]的电子邮件已经影响了我们的环境,所以我们有理由猜测,其他的电子邮件可能正在伺机而动。(值得注意的是,这些域中的许多目前都是不活动的,如截图中的断开链接符号所示,所以另一个过滤器可以只包括仍然活跃的域。)
的Human-SOAR切换
在本例中,剧本可以完成以下操作:
- 聚合所有具有可用域名的日志源(稍后详细介绍)
- 规范化日志并提取域名(在SLD级别,例如“example.com”)
- 将这些写入一个文件
- 查找所有域名Alexa前几百万
- 丢弃前百万的域名
- 将剩余的域写入“候选域”文件
occert[。电子邮件域应该在候选域名文件中,因为它没有进入Alexa的前百万。候选域名可以遵循另一个剧本:
如果我们在第4步中对“感兴趣的”支点的阈值设置为500,那么就可以标记该域以供人工随访。如果第4步生成的文档包含有有趣的pivot计数的值,那么它可能看起来像这样(顺便说一句,“MXIP”是与域相关的邮件交换器或邮件服务器的IP地址):
| 域 | 风险 | IP(计数) | MXIP(计数) |
|---|---|---|---|
| occert。电子邮件 | 79 | 199.188.205(。) 245 (492) | 199.188.205(。) 245 (434) |
这份文件就是人类分析员的狩猎清单因为他们会知道关于它的内容的几件重要的事情。文档中的每个域:
- 是否收到了来自受保护主机的流量(或至少是DNS查询)
- DomainTools的风险评分高吗
- 有其他相对紧密耦合的域(根据计数)
在大型环境中,这样的列表可能很长,因此可以作为剧本的一部分进行进一步的裁减;例如,在第二本剧本中,在第一步之后,可以添加基于域年龄的过滤步骤.许多分析师喜欢关注新创建的域名。域occert(。]电子邮件在创建一个月左右的时间里就被报告给了一个安全信任小组;如果按照剧本的步骤来选择历史超过90天的域名,就会包括这个域名在网络钓鱼活动中被使用时的域名,但可能会通过丢弃其他存在时间更长的域名来减少分析师需要关注的内容。
只需在Iris UI中花几分钟时间,分析人员就可以为occert[在IP和MXIP值上运行枢轴。],然后进行以下过滤:
- 忽略低于70分的域
- 忽略不活跃的领域
- 忽略90天以上的域
这将产生一个由几十个指标组成的可管理的指示器列表,而且基础设施具有相关性,因为它连接到网络上已经观察到的域。
草根威胁英特尔
以这种方式创建威胁情报有一个重要的优势:它从与事实相关的角度出发。在受保护环境中发生的一切都与作为SOC人员的您相关。可以肯定的是,大多数通信在大多数环境中都是良性的;但是,当您从已知或怀疑是恶意的东西开始,并构建与之相关的资产的配置文件时,您就有了一个良好的基础。主要威胁情报中的大部分指标从未接触过任何特定环境。能够访问这些提要是件好事,但重要的是要花费宝贵的资源,围绕在您的网络上运行的已知内容构建情景感知,以便您能够应对实际向您投掷的内容。
更多的帮助确定的可能
在本例中,与occert[相关的域的连通性。电子邮件的置信度适中。我们确实在IP地址上看到了很多看起来很糟糕的域名,但没有其他迹象表明这些域名是某个特定活动的一部分;它们可能是各种参与者的创造,这些参与者碰巧喜欢某个特定的主机提供商。我们怎样才能更清楚地了解领域之间的关系,从而更好地理解活动?在第3部分中,我们将看到一个由DomainTools研究团队开发的新工具它的目的正是要实现这一点。请继续关注!