1 概述

   整个过程主要包含了三个阶段。

   1、战术情报：主要通过kill chain的还原，描述了攻击的整个过程。

   2、战略情报：结合样本与威胁情报库，对攻击者、攻击工具、攻击手法等进行深入分析与画像。

   3、通过前面的分析，形成机读的IOC，进行信息共享，达到预警、预防、反制的目的。

2 战术情报：基于流量，结合kill chain的Webshell的检测与取证

   基于流量的webshell分析，比日志分析、样本分析而言，可获得的信息更多，可以做到：

   1、基于行为的payload分析，发现未知的、伪装性的webshell；

   2、攻击过程的还原，可以从kill chain的角度来还原整个攻击过程。

下面是一个案例分析，攻击总体过程分析如下：

2.1告警（线索）

   首先通过基于流量的webshell分析引擎，告警发现多个疑似webshell流量。

2.2过程还原

   依据此线索，我们开始逐步的深入分析，还原整个的攻击过程。下面主要上图为主。

Act

C2

installation

exploitation

delivery

 上面完整的还原此次事情的攻击过程。后面会介绍结合样本与威胁情报库，对攻击者、攻击工具、攻击手法等进行深入分析与画像。

请关注下篇《结合威胁情报的Webshell事件处理谈（2）–攻击者的深入画像》

感谢大家关注“守望者实验室”！