0x00 引言
本人因为工作的缘故会接触大量的现网攻击事件告警,也经常使用情报平台对告警的源ip进行辅助研判,这里记录一些本人对于情报的理解以及如何做好自己的情报系统。本文会介绍情报的本质、情报的特征、情报搜集与情报校验,以及最后会讲述如何把情报做到一流水平,比如说比肩某步。
如果你是一个大学教授,手底下有20个大学生(可以ya zha),那么看了我的文章你也可以开一家比肩W步的公司。(某步情报强在历史积累,新产生的情报你按照我的思路认真做好不会输给任何厂商)
0x01 情报的本质
什么是情报,我不想解释。不如说如何招一个情报工程师?情报工程师本质上是一个爬虫工程师,信息搜集整理,不论是在外部做些爬虫,还是通过运营打入黑产内部,都属于高级爬虫工程师/运营工程师的范畴。
0x02 情报的特征
1.数量海量
ip、domain、url、hash、ja3(s)、mail...
上面几类只是最基本的几种情报类型。更多类型,还有 miner、botnet、APT、trojan、spam、fishing......可能有大几十种吧。网络攻击每天都有发生的,因为 ipv4地址那么多个,每天钓鱼,漏洞扫描攻击那么多,被攻陷的肉鸡也可以成为新的僵尸主机加入新的攻击者行列。
2.时效性强
比如一个域名,被APT组织注册,但是用了几天就弃用转让了。访问不了,以后再被正规公司/个人使用,它就不能叫一个恶意域名了,这时候就该更新情报库了。
也有不依赖时效性的情报,比如hash情报,一个恶意文件,它到什么时候都是一个恶意文件,这个就可