被FireEye 10亿美金收购的专业安全威胁情报公司Mandiant,在2013年发布了其成名作 关于中国黑客攻击的APT1报告。其细节就不说了,但是估计很少人注意到,APT1报告还有个附件文件。
其在发布APT1报告同期发布的附件文件 Mandiant_APT1_Report_Appendix.zip 中除对APT攻击中包含的恶意代码家族的分析和SSL证书之外,还包含APT1使用相关域名的FQDN信息、恶意代码相关MD5 HASH,以及使用其力推的OpenIOC格式的相关可机读的IOC文件。
随后,MITRE也根据Mandiant的报告,提供了使用业内更加公认的STIX 1.1.1格式的机读文件。
相关文件可移步网盘:
http://pan.baidu.com/s/1ntFVXd3
如APT1报告示例,安全威胁情报提供的内容一般会同时包含非机读对攻击事件进行详细分析描述的文档格式文件,以及可机读格式的事件描述文件。
其中安全威胁情报不同于传统的安全通告、预警的最大区别就是其提供可机读的情报文件。这些可机读情报信息可迅速被支持的安全平台甚至安全设备所使用,快速进行防御和监测。可以试想一下,正在进行类似APT1攻击的时候,情报厂商分析后,生成可机读格式的情报并发布。相关支持机读格式的平台(如SOC、SIEM平台等)、支持机读格式的产品(如防火墙、入侵监测、防病毒等)快速进行读取,并对相关网络行为、主机、文件等进行监测,可有效发现和阻断其他节点正在进行的APT1攻击。真正的做到全网联动,快速响应。
在当前的攻防态势下,传统的安全方案、产品、技术已经难以进行有效防御,机读情报可有效解决跨组织、跨设备、跨厂家的快速协同联防,在国外已经认为是安全防御发展的趋势,美国甚至专门成立了相关国家级组织、颁布了相关法令来改进其国家级基础设施防护。
本篇在着重介绍一下APT1报告中STIX格式的部分。
SITX格式的APT1报告包括7个文件:
Mandiant_APT1_Report.xml
使用STIX格式转换的APT1报告文档,就是机读格式的报告文档全文了。
Appendix_D_FQDNs.xml
转化为STIX包含的CybOX扩展格式的攻击使用相关域名的FQDN信息,网络监测设备和日志分析设备可读取这些域名信息发现与这些域名有访问或连接的设备。
Appendix_E_MD5s.xml
转化为STIX包含的CybOX扩展格式的攻击使用相关恶意代码MD5 HASH,日志分析平台、主机、防病毒等安全设备可利用此情报对恶意代码存在情况进行检查。
Appendix_F_SSLCertificates.xml
转化为STIX包含的CybOX扩展格式的攻击使用的SSL证书信息,网络监测设备和、、日志分析设备、主机监测等可读取这些情报对使用这些证书的行为进行发现。
Appendix_G_IOCs_No_Observables.xml
使用OpenIOC扩展格式来定义指示器的STIX格式情报文件(没有使用CybOX扩展格式),各种相关安全设备可以利用这个情报对攻击进行检测,截图里面是如何对文件检测的实例。
Appendix_G_IOCs_No_OpenIOC.xml
使用CybOX扩展格式来定义指示器的STIX格式情报文件(没有OpenIOC扩展格式),各种相关安全设备可以利用这个情报对攻击进行检测,截图里面是如何对一个加为服务的后门文件检测的实例。
Appendix_G_IOCs_Full.xml
同时包含使用CybOX扩展格式和OpenIOC扩展格式来定义指示器的STIX格式情报文件,各种相关安全设备可以利用这个情报对攻击进行检测,截图里面是如何对一个WEB C2的后门文件检测的实例。
