对外公开的IOCs的URL一般都会加上”[ ]“的符号确保安全可观。例如:http://badurl[.]com
处理IOCs的URL情报信息时,尤其注意自己不要点击到URL和IP地址的超链接,notepad++和excel都是默认开启转换为超链接,下面是确保处理时安全可靠的方法。
URL情报信息单独存放一个文件,并用样本的方式压缩加密保存。在处理前要确保工具禁用了超链接,并且没有下载更新软件时改变设置。
WPS禁用超链接
左上角:文件——选项——编辑——嵌入时将Internet链接或网络路径转换为超链接
NotePad++禁用超链接
Setting——Preference——MISC
Excel 数据分列
哈希值自动填充
IOCs情报过滤
并不是别人的情报就一定是对的,比如《LazyScripter组织利用远程访问木马针对航空公司》的PDF后附录的iocs中带有空文件哈希值。把该哈希被列入引擎黑名单将造成很大的错误。
https://resources.malwarebytes.com/files/2021/02/LazyScripter.pdf
再比如 Neo23x0的loki中集成的IOCs包含了windows自带的软件程序rekeywiz.exe
容易被识别成黑文件哈希的IOCs
e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855 空文件哈希
082ED4A73761682F897EA1D7F4529F69 c:\windows\syswow64\rekeywiz.exe
5343a19c618bc515ceb1695586c6c137 系统正常msvbvm60.dll
原文出处https://s.tencent.com/research/report/479.html