安全威胁情报标杆之一的FireEye在2013年发布过一个针对POISON IVY木马的威胁情报报告。
跟前篇APT1报告一样,除了报告正文之外还有附件,还有STIX 1.1.1格式的机读情报(是由MITRE根据FireEye报告提供的)。
关于前篇请移步:
http://www.sec-un.org/mandiant-secur%E2%80%A6-instance-apt1.html
POISON IVY报告文件下载请移步网盘:
http://pan.baidu.com/s/1kTDYkPT
FireEye自己的附件就不详述了,其中有个木马的视频可以看。
STIX机读格式情报包含四个文件:
fireeye-pivy-report.xml
STIX格式转换过的告,主要聚焦在TTPs,Threat Actors 和 Campaigns,不是全部报告内容。
这个主要是包含了概要层面的报告内容。
fireeye-pivy-observables.xml
将使用开源取证分析工具 Maltego 的图形化分析结果(FEYE报告中提供的附件),转换为STIX格式。
注意这个并没有创建指示器(indicator),只是包括分析出的静态的特征(或表征?observable)数据。
神器Maltego介绍及下载请移步:
http://www.paterva.com/web6/products/maltego.php
fireeye-pivy-indicators.xml
也是根据Maltego分析结果转换为STIX格式的情报文件,但是包含了指示器(indicator),用来演示如何利用特征(表征?observable)来进行高级情境分析确定攻击。
补充说明一下,observable是能观察到的行为,indicator是网络或系统中的风险,以及为什么是这个风险。
例子:indicator-你中了XXX木马了,为什么这么说?observable-注册表被改了XXX,多了文件XXX,文件HASH XXX。或者反过来说,因为发现了一系列observable,因此判断你存在什么风险indicator。
fireeye-pivy-report-with-indicators.xml
这个就是全体都有了,一锅烩。