Watcherlab网站(http://www.watcherlab.com/forum-ioc.html)来下载这些文件,
IOC 文件可以通过IOCedtior(http://bluecloudws.github.io/ioceditor/ )或Windows客户端(https://www.fireeye.com/content/dam/fireeye-www/services/freeware/sdl-ioc-editor.zip)浏览。
安全情报厂商监控、分析,获得新出现攻击的相关情报,可以采用一定的业界标准生成机读威胁情报并迅速发布,支持此标准的产品(如:SIEM、FW、 IDP、AV等)就可以快速读取其中的内容。
现今国际上通行的机读威胁情报标准有多种,包括:STIX、OpenIOC、IODEF、CIF、OTX等。
针对《结合威胁情报的Webshell事件处理谈(2)–攻击者画像与机读IOC》,共提供3个.ioc文件,分别是:
(1)、2015_12_Webshell_Basic.ioc:包含常见Webshell样本中攻击性Payload及特征的识别检测指标;
MD5: 9c020c8570b7610955f3c8004e5a2114
SHA1: a19900bf8de96bfa74db0346f525d33918f25773
(2)、2015_12_BanInfomation.ioc:包含Webshell受害者网络资产信息和数据;
MD5:41e2064fb9e1fbcf13a6d459d149cf79
SHA1: 848afb88f15ed56d1ed7ee7129878a50fa9844e4
(3)、2015_12_Authorization.ioc:包含Webshell攻击者身份信息和威胁指标;
MD5: 4932a9402da25e68810c0769d8410bad
SHA1:5ca0da9135f950ee72929a4c2c0c33d9b582a3b0
感谢大家关注“守望者实验室”!
