结合威胁情报的Webshell事件处理谈(2)–攻击者画像与机读IOC

围观次数:2,210 views

1 概述

  整个过程主要包含了三个阶段。

    1、战术情报:主要通过kill chain的还原,描述了攻击的整个过程。

    2、战略情报:结合样本与威胁情报库,对攻击者、攻击工具、攻击手法等进行深入分析与画像。

    3、通过前面的分析,形成机读的IOC,进行信息共享,达到预警、预防、反制的目的。

1

  本文主要描述第二、第三阶段。即战略情报、机读的IOC。考虑到信息的敏感性,部分内容做了打码处理,屏蔽了一些信息。

  战略情报主要包括攻击者画像、受害者画像(整体受害者的损失和影响范围等)

2

3

2 攻击者之:工具画像

  对所捕获的webshell流量样本进行分析,可获得如下信息。包括文件名、MD5 hash、webshell密码、C2、action等。

4

5

  同时对样本进行了综合分析,得到样本的网络流量特征,以及具体的payload。可以作为样本的网络流量特征加到相关安全产品中进行检测。

6

3 攻击者之:身份画像

  根据工具的画像分析,对C2服务器进行进一步的分析可以得到相关的信息。

  根据所涉及的域名进行深入的关联反查,逐步获取攻击者的虚拟身份。

222

9

333

4 攻击者之:手法画像

  攻击者的主要手段总结如下图。

11

  具体截获的一些恶意程序,以及通讯恶意域名信息。

111

5 受害目标

  通过C2服务器的日志信息(HFS),可以发现恶意工具的下载者ip以及工具的上传着IP,这些下载的IP基本可以确定就是受害者。

13

14

15

  感谢大家关注“守望者实验室”!

qrcode_for_gh_2f57bf1ba29f_430

发表评论

邮箱地址不会被公开。 必填项已用*标注

广告赞助