APT情报IOCs处理须知

最新推荐文章于 2024-06-09 09:47:18 发布
最新推荐文章于 2024-06-09 09:47:18 发布
阅读量2.3k 收藏 1
点赞数 2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43312649/article/details/114259154
版权

对外公开的IOCs的URL一般都会加上”[ ]“的符号确保安全可观。例如:http://badurl[.]com
处理IOCs的URL情报信息时,尤其注意自己不要点击到URL和IP地址的超链接,notepad++和excel都是默认开启转换为超链接,下面是确保处理时安全可靠的方法。

URL情报信息单独存放一个文件,并用样本的方式压缩加密保存。在处理前要确保工具禁用了超链接,并且没有下载更新软件时改变设置。

WPS禁用超链接

左上角:文件——选项——编辑——嵌入时将Internet链接或网络路径转换为超链接
在这里插入图片描述

NotePad++禁用超链接

Setting——Preference——MISC
在这里插入图片描述

Excel 数据分列

在这里插入图片描述

哈希值自动填充

IOCs情报过滤

并不是别人的情报就一定是对的,比如《LazyScripter组织利用远程访问木马针对航空公司》的PDF后附录的iocs中带有空文件哈希值。把该哈希被列入引擎黑名单将造成很大的错误。
在这里插入图片描述
https://resources.malwarebytes.com/files/2021/02/LazyScripter.pdf

再比如 Neo23x0的loki中集成的IOCs包含了windows自带的软件程序rekeywiz.exe
在这里插入图片描述

容易被识别成黑文件哈希的IOCs

e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855 空文件哈希
082ED4A73761682F897EA1D7F4529F69 c:\windows\syswow64\rekeywiz.exe

5343a19c618bc515ceb1695586c6c137 系统正常msvbvm60.dll
原文出处https://s.tencent.com/research/report/479.html

摔不死的笨鸟
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
检测工具介绍:Loki的IOCs检测和Pesieve的内存注入检测
摔不死的笨鸟的博客
01-07 674
LOKI控制行命令 命令选项 功能参数 -h 显示此帮助消息并退出 -p 要扫描的路径 -s (千字节为单位) 以KB为单位的最大文件大小(默认为5000 KB) -l 日志文件 -r 远程syslog系统 -t 远程系统日志端口 -a 警报级别的警报分数 -w 警告级别的警报分数 -n 通知级别的通知分数 –printall 打印所有扫描的文件 –allreasons 打印导致得分的所有原因 –noprocscan 跳过进程扫描 –nofi
IOCS-开源
04-27
晶体系统识别软件。 基于Java的,与OS无关的。
探索网络安全新维度:Log4Shell-IOCs 紧急响应工具
最新发布
gitblog_00028的博客
06-09 374
探索网络安全新维度:Log4Shell-IOCs 紧急响应工具 项目地址:https://gitcode.com/curated-intel/Log4Shell-IOCs 在当前数字化时代,安全漏洞的发现与应对变得至关重要。近期,Apache Log4j 的 CVE-2021-44228 漏洞(Log4Shell)引起了全球的关注。为了帮助安全专业人员快速识别并防御这一威胁,Curated In...
【转】APT情报IOCs处理须知
tpriwwq的专栏
08-20 1822
APT情报IOCs处理须知
python提取iocs(extract_iocs模块)
Liquor的博客
11-19 734
简介 extract_iocs 是一个 Python 模块,可从文本中提取入侵指标 (IOC),包括域名、IPv4 地址、电子邮件地址和哈希值。它使用了一些巨大而丑陋的正则表达式,具有特殊处理来识别具有相对较低误报率的域名,并尝试通过换行符提取 IOC。 第一步 下载安装包 pip install extract_iocs 第二步 示例代码 import os from extract_iocs import extract_iocs def _get_iocs(text): """Get IOC
使用APM破解Imminent rat病毒后我们学到的东西
热门推荐
一个码农的笔记
01-23 2万+
翻译自:https://blog.talosintelligence.com/2019/01/what-we-learned-by-unpacking-recent.html 翻译:聂心明 在过去两个月的时间里,Cisco Talos一直在追踪一系列Imminent rat病毒感染事件,下面的数据来自思科高级恶意软件防护(AMP)漏洞利用防护引擎。在病毒开始感染主机之前,AMP成功的阻止了病毒,但...
mtk平台的gpio控制
嘿嘿白日的博客
01-22 2319
https://yq.aliyun.com/ziliao/273436   一.mtk平台的gpio控制  1.1 内核中的gpio配置  //设置gpio18为GPIO模式  mt_set_gpio_mode(GPIO18, GPIO_MODE_GPIO);    //设置gpio18方向为out  mt_set_gpio_dir(GPIO18, GPIO_DIR_OUT);  //设置gp...
VxWorks_em_C_code_for_IOCs_IOCs_em_C_vxworks_
09-30
VxWorks_em_C_code_for_IOCs
malware-iocs
05-16
恶意软件危害指标该存储库包含与我们的调查有关的危害指标(IOC)。版权版权所有(C)2003-2020,Doctor Web有限公司
awesome-iocs:危害指标的集合
01-31
-存储库包含CSV格式的IOC,用于APT,网络犯罪,恶意软件和特洛伊木马以及我在狩猎和研究中发现的任何内容。 -NSHC ThreatRecon IoC存储库 来自第42单元公共报告的指标。 Snort签名 -Snort(和Suircata)入侵检测...
基于公开情报APT组织跟踪
04-26
他山之石可以攻玉-基于公开情报APT组织跟踪,内容丰富,值得学习。
iocs:第42单元公共报告中的指标
05-12
单元42 IOC 该存储库包含与Unit 42公共报告相关的指标。
威胁预警|首现新型RDPMiner挖矿蠕虫 受害主机易被添加恶意账户 ...
weixin_34179968的博客
01-09 304
近日,阿里云安全发现一种新型挖矿蠕虫RDPMiner,通过爆破Windows Server 3389端口RDP服务的方式进行挖矿木马传播,致使用户CPU占用率暴涨,机器卡顿,更被创建名为DefaultAccount的账号。攻击者可畅通无阻远程登录机器威胁用户业务和数据安全。 据该蠕虫连接的某矿池公布的HashRate,预估仅该矿池即有2000+机器连接进...
一份APT报告里有什么?
emm
07-13 861
目前的APT报告出处非常集中,基本都出自几大知名安全厂商。因此,在报告的风格、内容、结构上,可以看到非常明显的差异。虽然一份APT报告的最终目的应该是通过来自长期对来自同一组织的攻击活动的监测,而对这一黑客组织给出多维度的准确刻画,但在数据量大小、检测力度以及各公司本身对攻击痕迹分析的着重点的不同的影响下,各家厂商所产出的报告都有鲜明得特色和规律。
攻击信标(IOA)与攻陷信标(IOC
云上笛暮
04-28 3497
了解 IoA 和 IoC我们先来简单看看这两个指标的定义。
浅谈我对APT的看法
摔不死的笨鸟的博客
10-16 1840
本篇纯属个人看法与技术经验交流,不代表任何团体和组织。文章有语句不通和观点错误之处欢迎指正。 高级可持续性威胁APT一、APT多多少少是有些炒作成分的二、APT四大难点:分析、挖掘、检测、溯源三、APT与EDR病毒的区别四、APT的工作模式五、安全人员管理建议 随着《数据安全法》、《关键信息基础设施安全保护条例》出台,数据保护,尤其是敏感数据各环节合规使用,成为监管部门关注重点,APT也渐渐成为人们关注的热点。APT攻击,即高级可持续威胁攻击,也称为定向威胁攻击,指某组织对特定对象展开的持续有效的攻击活动。
APT IOC Mark
blackorbird的博客
06-20 216
MuddyWater64f1a496c68e3257cd88c39cb22d89abairbreak3c51c89078139337c2c92e084bb0904c 5d...
IoC真的重要吗?细节决定成败
weixin_34337265的博客
07-04 241
安全行业已经从仅专注特征码,转变到了将IoC(入侵指标)也纳入进来。因为各方面看来,IoC都更加便捷,也兼容各种不同检测平台。是时候重视IoC并更加有效地使用它们了。 然而,这个转变过程中,IoC遭到了不公正的责难。个中原因很容易理解:指标有时候可能只是缺乏上下文的一些数据片段。安全人员在努力保护公司环境的时候,往往苦于从数据中提炼出有意义的东西,不知道...
浅谈IOC--说清楚IOC是什么
weixin_33929309的博客
06-05 3048
博文目录 1.IOC的理论背景 2.什么是IOC 3.IOC也叫依赖注入(DI) 4.IOC的优缺点 5.IOC容器的技术剖析 6.IOC容器的一些产品 7.参考博文 本文旨在用语言(非代码)说清楚IOC到底是什么,没有什么高深的技术,园中的老牛、大虾们看到这里可以绕行了,以免浪费您宝贵的时间。IOC这个东西DebugLZQ早就想写了,但是出于对文章权威性的考虑(不能误人子弟- -...
PROFINET IOCS和IOPS和APDU的作用区别
05-31
PROFINET IO协议中,IOCS、IOPS和APDU的作用如下: 1. IOCS:IO Control System(控制系统)用于控制设备的状态和行为。控制器通过IOCS命令向设备发送读、写、订阅等操作,从而控制设备的行为。IOCS命令可以控制...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

摔不死的笨鸟

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值