执行概要
安全的零食是我们用来指代一次性的、小规模的情报的一种方式,由于它们的模糊性或孤立性,很难将它们与单个活动或行动者联系起来。尽管如此,它们仍然是重要的情报,知道如何寻找它们可以帮助你的组织采取防御姿态,因为零食可能会在未来的调查中出现,将它们与正餐联系起来。
什么是威胁情报零食?
并不是所有的妥协指标(ioc)都是一样的。有时,只是没有足够的证据或数据将一项恶意行为与一场运动或一个演员联系起来。通常,基于共享主机基础设施的普通低级网络钓鱼只能被识别为恶意,仅此而已。网站经常会有一个奇怪的命名惯例,用来伪装一个潜在的登录服务,或者作为一个大公司的拼写错误。虽然可能还没有实际的恶意内容,但域名的命名模式和其他组件(如折扣注册商或已知的坏名字服务器)可能会指向将来会出现的恶意内容,即使域名还没有运行。
这些指标,一次性的,奇怪的,似乎不符合任何已知的战术,技术和程序(ttp)的追踪演员,或太普通了,他们可能是任何东西,我们称之为零食。这种命名惯例背后的原因是,我们在DomainTools的日常安全研究中不断发现一些指标,但我们认为社区仍然应该意识到他们组织的安全性。我们倾向于把完整的报告看作一顿饭,你会坐下来阅读、消费,并作为辩护人做出反应。另一方面,零食往往是值得监控的东西,我们在该领域多年工作的直觉告诉我们,未来可能会有恶意。
如何食用(摄取)它们
由于这些在很大程度上是一次性的和奇怪的,我们认为有必要注意优先次序的重要性。虽然这些零食很多都很有趣,但如果你钻进兔子洞,试图弄清楚更多关于零食的信息,你可能会迷失自己的防守者。因此,我们建议,除非所提供的信息立即影响到您的组织,否则当您发现零食时,只需将其添加到您的威胁情报平台或者指标数据库,然后继续。好奇心是任何优秀研究人员和黑客的标志,但只有当它有利于您的安全组织时。当您发现更多潜在相关的基础设施时,让指示器数据库显示关系并将零食构建为完整的餐点。
零食货架
你可以在很多地方找到零食,这取决于你想找什么。如果您正在寻找恶意文档,那么可以使用一个公开可用的行业标准站点来分析二进制文件和雅苒规则再加上探索性搜索将是你最好的选择。如果您正在搜索恶意子域名,全路径url和钓鱼工具包,那么免费和公开的搜索引擎URLScan.io让你有机会筛选成千上万的网页和底层文档对象模型(DOM)在世界各地提交的网站后面。然而,在DomainTools,我们专注于搜索恶意域名,因此主要在域名通道中操作。
新域名
在寻找恶意域名时,你能做的最明显的事情就是监控带有常见钓鱼术语的新域名。其中包括“365”,“admin”,“auth”,“login”,“microsoft”等等。与DomainToolsPhishEye你每天都会收到一封电子邮件,因为有新网站上线了,里面有你的术语和所有的排列,包括小码变体和排字法。下面是术语365的示例。
其他变体包括新观察到的域名提要,它为您提供了最近已注册或重新注册的域名的持续流。一些馈送围绕被动DNS和第一次在数据中看到顶点域。然而,这些类型的提要可能会让人不知所措,所以我们建议首先搜索包含您的公司或产品名称和排列的特定术语,然后是可能是您的供应链和工作流程的一部分的公司和产品,最后是包含通用登录、管理面板和其他软件的推测性查询。乐动体育官网下载我们很少发现,作为防守者,我们每天都有足够的时间来达到最后的优先级。
命名服务器跟踪
一旦你开始监控新的领域,你就会开始看到数据中出现的模式。最有用的模式可能是名称服务器的重复。对于攻击者来说,名称服务器是一个重要的接触点,因为如果他们希望自己的域名能够解析并被访问,就必须涉及到DNS记录。除了是一个基本的接触点,名称服务器也很难管理和运行,因此对手倾向于使用单个名称服务器或服务来管理他们的DNS记录。与DomainTools名称服务器监视器您可以监视域名在域名服务器上的移动。下面是site-dns[的示例。com,这是一个域名服务器,通常用于低级网络钓鱼活动。
当你发现了一个域名服务器,往往托管大量的恶意,你可以大大增加你每天摄入的恶意域名的数量,甚至发现新的,不可预见的术语,不会出现在你的常规新域名分析。这也是一种有用的方法,可以发现针对整个行业的活动,因为对手可以重复使用单个名称服务器,对航运业的公司进行大量网络钓鱼。此外,由于域名在被使用后经常转移到其他域名服务器,您可以发现拘留室,其他恶意域名服务器,经销商和防弹主机回收基础设施。
最后的品尝笔记
从这一点开始,你将开始通过零食来发现模式,并可以选择观察最有可能变成正餐的群集,更广泛的威胁需要更多的研究来揭示。一些指标将保持它们的现状,单独的一次性指标,但您将把一些简短的检查和低工作量转化为可用的情报,同时了解互联网上的恶意部门。
无论你在做什么样的研究或蓝队工作,总有一些小花絮不太适合大调查的模式。这些潜在的尚未操作的零食仍然是任何组织安全态势的重要跟踪组成部分。我们希望您能与我们和更广泛的安全社区分享您找到的任何零食。
