2023-08-18 技战法系列-威胁情报结合资产测绘筛查自检技战法.pdfVIP

技战法系列-威胁情报结合资产测绘筛查自检技战法

原创BeatRex

2023-08-18原文

一、技战法概述

互联网中流通的潜在威胁、攻击人员、攻击技术和漏洞等信息都可称

为威胁情报。情报是一种线索，真伪需要专业团队通过经验结合复现

进行验证。在实战攻防过程中，除了实际的红队攻击、蓝队反制的对

抗外，也散步着针对0day漏洞、红队IP等情报信息。因此就需要对真

假难辨的情报分析、验证，形成准确相关且具备相应时效性的价值信

息。

对情报的筛查、自检能够帮助单位自身排查风险、规避因脆弱性导致

的失陷情况发生。除此之外，对来自互联网的攻击IP、攻击手段通过

第三方威胁情报平台进行检索，有助于对红队人员攻击画像的输出。

二、主要工作

2.1成立工作团队并明确分工

建立由情报搜集人员、情报验证人员、资产测绘人员、情报排查人员

、问题整改人员等专家组成的团队。建立完善的沟通方式和工作机制

，有序将每一条情报针对单位自身进行排查。团队分工如下：

情报搜集组：搜集来自互联网、社交媒体、圈内社群、内部共享等多

个渠道的数据源，将数据源按照IP来源、攻击手段、漏洞、文件样本

Hash等维度进行分类。

情报验证组：在搜集到情报之后，需要对未验证的数据进行筛查。避

免情报排查人员使用虚假情报，耗费大量时间。主要工作内容包括：

1）IP梳理：将情报内的攻击IP同本单位业务IP段进行验证，规避云W

AF等业务代理IP，针对IP通过第三方平台进行检索，输出最终恶意IP

清单；

公众号:渗透安全HackTwo

2）漏洞验证：通过内部社群、知识库、Github等平台搜集已有漏洞

验证代码的漏洞，输出最终清单。

资产测绘组：获取到有效情报之后的工作是针对单位自身范围资产进

行排查，因此需要对内外网资产进行搜集梳理。主要工作如下：

1）基于业务通过内网安防产品开展策略梳理：通过网闸、内网防火

墙、负载均衡类产品内策略，结合单位业务对已配置的应用控制策略

、网络控制策略进行梳理，将策略颗粒度降低细化；

2）结合态势感知开展资产扫描、弱口令探测：基于流量探针对网络

中流通的IP日志进行记录，并通过主动扫描功能对网段内的资产进行

主动探测，同时进行弱口令扫描发现弱口令脆弱性；

3）网络资产测绘排查分子公司、上级单位关联资产：利用资产测绘

引擎对互联网中的IP地址、端口号、证书、域名、操作系统、Web应

用、中间件/框架等指纹特征。获取集团及旗下关联的所有分子单位。

情报排查组：结合情报验证组与资产测绘组的结果，由情报排查组内

的人员负责排查已梳理完成资产是否存在已验证威胁，并将排查结果

输出形成报告与处置建议汇总至问题整改组。并对整改完成的资产进

行复测，确认无误后形成记录归档。

问题整改组：主要负责情报排查组上报的问题整改工作，如IP封禁、

漏洞整改、策略调优、问题下发推进等，跟踪问题的整改结果。

2.2情报搜集

威胁情报包括战略情报、可操作情报、战术情报、技术情报。技术级

情报又称失陷检测指标IoC，可检测系统是否感染恶意病毒或攻陷。

针对威胁情报来源的搜集可以是多种渠道，如暗网交易市场、黑客论

坛、勒索团伙站点、国内外代码托管平台、网盘文件监控、文库文件

监控、匿名社交软件、第三方威胁情报中心。监控的内容主要包括IP

、漏洞、暗网情报、代码泄露监控、敏感文件、黑产舆情、资产失陷

、仿冒网站等。常见的第三方威胁情报中心如下：

1）微步威胁情报中心：

2）VirusTotal：

3）深信服威胁情报中心：

公众号:渗透安全HackTwo

4）360威胁情报中心：

5）奇安信威胁情报中心：

6）安天威胁情报中心：

7）安恒威胁情报中心：

8）腾讯安全威胁情报中心：

9）绿盟安全威胁情报中心：

10）Venuseye威胁情报中心：

2.3资产测绘

资产测绘分行为测绘、动态测绘、交叉测绘。资产测绘有助于摸清资

产情况。有效掌握资产的分布状况、操作系统、端口等相关信息的分

布状况。在企事业单位的安全运营体系建设中，资产安全是安全的基

础。除此之外，以攻击者视角覆盖资产和暴露面，可缓解企业安全风

险。时刻洞察网络空间资产，主动及时掌控资产动态。

网络资产测绘的快速搜集整理需要借助一些常见的第三方平台，为确

保结果的完整性，通常会将多个工具结合使用。可通过多种语法综合

全面搜集相关资产。搜索单位相关资产通过一些指定的语法开展，如

搜索网页标体内包含某关键字的资产可使用：title=“关键字”；网页页