一、什么是病毒情报
病毒情报(Virus Intelligence)指的是关于计算机病毒和恶意软件的信息和情报数据。它是针对恶意软件的研究、分析和监测的结果,用于了解和对抗不断变化和演化的威胁。
二、病毒情报对企业有什么用
病毒情报对企业来说是关键的安全资源,它提供了关于当前和新兴威胁的信息,帮助企业了解各种恶意软件、攻击向量和攻击手法。这使企业能够更好地了解威胁环境,并根据最新的威胁情报来改进其安全防御策略。
三、背景需求
正常情况下,企业的病毒情报依赖于安全厂家设备自带的 ioc,然后通过月度或者季度,或者牛一点的就每天对 ioc 库进行更新。那遇到新发现的病毒情报,厂家肯定无法实时更新然后同步到企业。所以我决定自己动手。
然后我的思路是这样的, 通过以下四个步骤来完成我的自动化闭环运营。
四、实践
开始动手起来。首先肯定是获取情报源,然后进行评估,再确认。
1、获取情报源。
目前我使用的源是 MalwareBazaar 跟 Abuseipdb ,当然后续有新的或者更好的还会不断添加。
2、为什么使用他们?
- MalwareBazaar:
它是一个公开的恶意软件样本库和情报平台,我们可以访问大量的恶意软件样本,并与其他专业人士共享他们的分析结果和发现,这种协作和知识共享的方式有助于更好地了解恶意软件的行为。它不仅提供了恶意软件样本的下载,还包含了样本的元数据、文件哈希值、IOC 等信息。最重要的是,支持 API。
- 抽样评估:
从 MalwareBazaar 抽取其中一个 ioc,时间:2023-02-07 01:45:50