实践｜病毒情报自动化闭环运营

文摘科技 2023-07-10 10:22 日本

病毒情报

ioc

BACKGROUND

正常情况下，企业的病毒情报依赖于安全厂家设备自带的 ioc，然后通过月度或者季度，或者牛一点的就每天对 ioc 库进行更新。那遇到新发现的病毒情报，厂家肯定无法实时更新然后同步到企业。所以我决定自己动手。

Introduce

什么是病毒情报？

INTRODECE

病毒情报（Virus Intelligence）指的是关于计算机病毒和恶意软件的信息和情报数据。它是针对恶意软件的研究、分析和监测的结果，用于了解和对抗不断变化和演化的威胁。

What's the use

病毒情报对企业有什么用？

What's the use

病毒情报对企业来说是关键的安全资源，它提供了关于当前和新兴威胁的信息，帮助企业了解各种恶意软件、攻击向量和攻击手法。这使企业能够更好地了解威胁环境，并根据最新的威胁情报来改进其安全防御策略。

Ideas

思路

Ideas

然后我的思路是这样的, 通过以下四个步骤来完成我的自动化闭环运营。

Practice

实践

获取情报源

目前我使用的源是 MalwareBazaar 跟 Abuseipdb ，当然后续有新的或者更好的还会不断添加。

为什么使用他们？

MalwareBazaar：

它是一个公开的恶意软件样本库和情报平台，我们可以访问大量的恶意软件样本，并与其他专业人士共享他们的分析结果和发现，这种协作和知识共享的方式有助于更好地了解恶意软件的行为。它不仅提供了恶意软件样本的下载，还包含了样本的元数据、文件哈希值、IOC 等信息。最重要的是，支持 API。

抽样评估：

某步云在线结果：没有新样本更新

某60沙箱：时间：2023-02-07 09:48:52。稍微慢了 8 h 左右

某信沙箱：时间：2023-02-08 07:41:41。稍微慢了 30 h 左右

vt 沙箱：时间：2023-02-08 13:40:23 。稍微慢了 36 h 左右

很明显，这些的时间都慢 MalwareBazaar

Abuseipdb

它是一个专注于帮助打击网络上的黑客、垃圾邮件和滥用行为的项目。它提供了一个中央黑名单，供网站管理员、系统管理员和其他感兴趣的人员报告和查询涉嫌恶意活动的 IP 地址。同样 AbuseIPDB 也支持API。

对新报告恶意 IP 地址进行抽样评估

某步：

某60

某信

提取 ioc

这一步的操作路线是这样的

提取 ioc，我这里用的是通过 python 调用 API 来实现的，这里的存储需要好好想一下。因为想要做到全自动化，我们必须把 ioc 存储到其他提取 ioc 的设备能够访问到的地方，再加上要考虑度量，每个月每个季度能获取多少 ioc，然后这里选择用了 jira。

MalwareBazaar 部分代码如下

response = requests.post('https://mb-api.abuse.ch/api/v1/', data=data, timeout=30, headers=headers,proxies=proxies)json_response = response.json()

if(args.field):    query = ".data[]." + args.field    json_response = jq(query).transform(text=json_response, text_output=True)

today = datetime.today()yesterday_9 = (today - timedelta(days=1)).replace(hour=9, minute=0, second=0, microsecond=0)today_9 = today.replace(hour=9, minute=0, second=0, microsecond=0)

results = []

for i in range(len(json_response['data'])):    data_time = datetime.strptime(json_response['data'][i]['first_seen'], '%Y-%m-%d %H:%M:%S')

    if yesterday_9 <= data_time < today_9:        first_seen = "first_seen: " + json_response['data'][i]['first_seen']               sha256_hash = "sha256_hash: " + json_response['data'][i]['sha256_hash']           sha1_hash = "sha1_hash: " + json_response['data'][i]['sha1_hash']        md5_hash = "md5_hash: " + json_response['data'][i]['md5_hash']        file_type = "file_type: " + json_response['data'][i]['file_type']        testttt = first_seen + "\n" + sha256_hash + "\n" + sha1_hash + "\n" + md5_hash + "\n" + file_type + "\n"        results.extend(testttt.splitlines())

取了每天 9 点到第二天 9 点的，因为默认设置 9 点自动化运行，然后再将获取到的 ioc 贴到 jira 就完事了，大致效果如下。

Abuseipdb 部分代码如下

url = "https://www.abuseipdb.com/statistics"re= requests.get(url)re.encoding="utf-8"#改为utf-8格式，不然可能读取到的是乱码selector=etree.HTML(re.text)#解析网站，变成HTML格式

xPath1 = "/html/body/div[3]/div/div/div/div/div[4]//text()"xPath2 = "/html/body/div[3]/div/div/div/div/div[5]//text()"xPath3 = "/html/body/div[3]/div/div/div/div/div[6]//text()"xPath4 = "/html/body/div[3]/div/div/div/div/div[7]//text()"xPath5 = "/html/body/div[3]/div/div/div/div/div[8]//text()"      widelyIP=selector.xpath("/html/body/div[3]/div/div/div/div/aside[1]//text()")recentlyIP=selector.xpath(xPath1)+selector.xpath(xPath2)+selector.xpath(xPath3)+selector.xpath(xPath4)+selector.xpath(xPath5)

效果如下

接下来就交给 SOAR 了，让它提取工单 ioc 对设备进行赋能，然后抽验检验 ioc 对 jira 工单进行闭环，soar 的流程图如下

自动化运营

通过上面的自动化操作，我完成了病毒情报的自动化闭环运营。

1、每天定时自动化获取 IOC

2、存储 jira 工单便于度量

3、SOAR 自动化提取赋能安全设备

4、SOAR 自动化验证闭环 JIRA 工单。

最终效果流程如下：

Finally

文章中的一些问题希望各位大佬不吝赐教，有更好的方式方法也可以一同探讨，后续还有一些新的处置想法，有机会再与大佬们分享。对于一些错误之处希望各位师傅多多指正！

http://mp.weixin.qq.com/s?__biz=MzkzNzI2Mzc0Ng==&mid=2247485789&idx=1&sn=c644359c6416a4deebe200887099861a

A9 Team

A9 Team 甲方攻防团队，成员来自某证券、微步、青藤、长亭、安全狗等公司。成员能力涉及安全运营、威胁情报、攻防对抗、渗透测试、数据安全、安全产品开发等领域，持续分享安全运营和攻防的思考和实践，期望和朋友们共同进步，守望相助，合作共赢。

最新文章

安全自动化与人工智能：网络防御的新前沿

无文件攻击利用与防范

安全运营之告警如何区分自己人

如何有效防范网络钓鱼攻击

终端防病毒系统运营过程的常见问题及应对措施

以漏洞挖掘的思路看CVE-2023-46604-ActiveMQ反序列化RCE

AI 安全运营的新篇章：Dify 的应用与实践（一）

勒索病毒演练实践

利用域控机器账户进行DCSync权限维持

表哥被钓鱼中招，教表哥如何识别钓鱼网站

记一次基于 SO 解密 Jar 包的反编译破解思路

生成式人工智能

数据安全离职审计实践分享

常见协议数据包解析

Windows日志一把梭

原型污染漏洞的简析及利用

数据安全离职审计实践分享

终端安全漏洞运营

初探威胁情报平台

CVE-2023-41892 Craft-CMS-远程代码执行漏洞

【极思】五年安全运营实践总结与未来思考

【极思】以攻促防：勒索软件攻击实战演练

K8S集群自身组件的一些安全问题

钓鱼邮件：WPS 0Day漏洞的威胁和应对

WIFI渗透

泛微OA v10_20211213_Offline 未授权访问漏洞

sqlmap也能反制？我不信

【A9】请求加密后的渗透测试方法

【A9】简单聊聊前端加密

安全运营变革：SOAR与SIEM完美融合的最佳实践

【A9】安全运营之外部事件管理

【A9】certutil，wmic命令执行敏感操作

【A9】安全运营之内部事件管理

【A9】Electron 桌面应用程序 XSS到RCE 的学习

【A9】CVE-2022-21661-WORDPRESS-SQL-注入

【A9】xred病毒感染事件

【A9】终端安全风险主要来源及防范措施

【A9】数据安全运营告警处置实践分享

【A9】数据安全运营告警处置流程实践

【A9】rke 部署K8S集群及 Rancher部署

【A9】初探应急响应

【A9】某官网应急响应排查

实践｜病毒情报自动化闭环运营

【A9】基于IPDRR网络安全框架，浅谈数据安全运营

【A9】XES-killer

【A9】工作组织架构变更引发的思考

【A9】记一次漏洞修复过程中遇到yum命令行的问题

【A9】初探eBPF

RocketMQ 最新漏洞手把手复现 CVE-2023-33246

【A9】Fastjson反序列化漏洞原理

分类

时事

民生

政务

教育

文化

科技

财富

体娱

健康

情感

旅行

百科

职场

楼市

企业

乐活

学术

汽车

时尚

创业

美食

幽默

美体

文摘

原创标签

时事社会财经军事教育体育科技汽车科学房产搞笑综艺明星音乐动漫游戏时尚健康旅游美食生活摄影宠物职场育儿情感小说曲艺文化历史三农文学娱乐电影视频图片新闻宗教电视剧纪录片广告创意壁纸头像心灵鸡汤星座命理教育培训艺术文化金融财经健康医疗美妆时尚餐饮美食母婴育儿社会新闻工业农业时事政治星座占卜幽默笑话独立短篇连载作品文化历史科技互联网

发布位置

广东北京山东江苏河南浙江山西福建河北上海四川陕西湖南安徽湖北内蒙古江西云南广西甘肃辽宁黑龙江贵州新疆重庆吉林天津海南青海宁夏西藏香港澳门台湾美国加拿大澳大利亚日本新加坡英国西班牙新西兰韩国泰国法国德国意大利缅甸菲律宾马来西亚越南荷兰柬埔寨俄罗斯巴西智利卢森堡芬兰瑞典比利时瑞士土耳其斐济挪威朝鲜尼日利亚阿根廷匈牙利爱尔兰印度老挝葡萄牙乌克兰印度尼西亚哈萨克斯坦塔吉克斯坦希腊南非蒙古奥地利肯尼亚加纳丹麦津巴布韦埃及坦桑尼亚捷克阿联酋安哥拉