實戰公有雲威脅情報系統構建
0x00 前言
公網威脅情報系統無論是傳統的售賣安全設備的廠商還是賣服務的雲安全廠商都需自建的一套有價值的系統。
歸納總結一下各位安全廠商的威脅情報收集途徑
·爬蟲系統
·蜜罐+沙箱
·部署的設備
在沒有更多IDC的資源情況下(cert國際出口等),如何形成自己的情報收集架構體系呢?
0x01 威脅情報收集單元詳細設計
架構拓撲
歸納威脅情報單元需要集成的公共安全組件
後台分析&發布平台
0x02 技術實現
1、蜜罐部署
·ssh蜜罐
cowrie搭建網上很多教程(忽略)。目的是把來至ssh自動化攻擊的payload drop sample存儲下來,為沙箱分析做準備。
·安裝logstash
rpm -ivh jdk-8u144-linux-x64.rpm
rpm -ivh logstash-6.2.4.rpm
·logstash配置
vim /etc/logstash/conf.d/logstash-cowrie.conf
input {
file {
path => ["/opt/cowrie/log/cowrie.json"]
codec => json
type => "cowrie"
}
}
filter {
}
output {
if [type] == "cowrie" {
elasticsearch {
hosts => ["x.x.x.x:9200"]
}
file {
path => "/tmp/cowrie-logstash.log"
codec => json
}
stdout {
codec => rubydebug
}
}
}
·驗證
curl "http://x.x.x.x:9200/_search?q=cowrie&size=5"
Web蜜罐:本項不討論
2、NIDS-suricata部署
yum install suricata
· logstash配置
vim /etc/logstash/conf.d/logstash-cowrie.conf
input {
file {
path => ["/var/log/suricata/eve.json"]
codec => json
type => "suricata"
}
}
filter {
}
output {
if [type] == "suricata" {
elasticsearch {
hosts => ["x.x.x.x:9200"]
}
stdout {
codec => rubydebug
}
file {
path => "/tmp/su-logstash.log"
codec => json
flush_interval => 0
}
}
}
·驗證
curl "http://x.x.x.x:9200/_search?q= suricata &size=5"
·策略過濾處理
3、沙箱部署
Problem One:
沙箱部署在實際雲主機環境中目前是無法創建的,因為你在虛擬機環境下再創建虛擬機的話是無法實現,況且各大雲廠商也不會開這個先例去搞。動態沙箱同時還需要動態分配對外通訊的IP地址,在環境中需要有DHCP伺服器分配IP。所以,在這個VPC環境中需要物理機、DHCP伺服器、雲主機。這些像啥?邊緣計算環境。其實還好了,並沒有對BGP網路依賴這麼高。主要VPC環境中支持物理機部署就好。虛擬化自己搞就好。
Problem Two:
Linux環境太開放,目前商業沙箱目前都不支持Linux沙箱,只能自己搞。
·靜態分析
·基本信息
·是否為elf類型 =>其他類型使用其他沙箱系統
·md5值 => 提交virustotal 查詢
· 靜態掃描
·yararule掃描
·探測殼
·虛擬機探測
·沙箱探測
·AV探測
·Malware、APT等
·virustotal API =>查詢機器學習殺軟和傳統殺軟分類器情況
·分別選擇了5家在各個領域最牛逼,打分
·以virustotal查詢結果為判斷是否為未知威脅惡意軟體
·動態分析
無論是通過通過virtualbox或者vmware player都無所謂。
·是否聯網
·Inetsim偽造
·API跟蹤
·進入虛擬機執行sysdig/strace
·解析文件操作:file_close_info、file_open_info、procexit_info、execve_info、file_access_info
·解析網路操作:socket_info、connect_info、DNS操作、http/s、TCP、UDP
·其他:大約1000多個API
0x03 總結
需要做的工作還有很多,但是大致的驗證基本完成。形成完整的威脅情報,還需要做很多分析工作。突然發現你買的威脅情報還是有價值的。我這只是簡單拋磚引玉,希望和搞威脅情報的小夥伴一起討論一下。
※沙盒也擋不住他們的腳步!惡意軟體利用macOS API和OCR組合拳竊取隱私信息
※利用Digital Ocean構建遠控基礎設施
TAG:嘶吼RoarTalk |