威胁情报分析

文章目录

常见技能要求
引言和概念
- 现实难题
- 动态积极防御 VS 静态被动防御
- 概念
- 常见情报标签
- - Botnet
  - Nitol家族
  - C&C服务器
  - IDC服务器
  - Alman蠕虫病毒
  - Trojan特洛伊
威胁情报分类（待）
行业标准和规范（待）
威胁情报平台
- 1.微步在线
- 2.RedQueen-天际友盟
- 3.安恒威胁情报中心
- 4.360威胁情报中心
- 5.IBM X-Force Exchange
- 6.AlienVault
情报实验室
- 安恒猎影实验室
个人感受
参考

常见技能要求

一、安全研究员(情报威胁) 启明星辰安全岗位职责:
1、负责威胁情报的收集,及时关注国内外安全动态,挖掘有价值的情报并纳入监控;
2、负责APT组织的分析和追踪,通过信息挖掘、特征提取形成有价值的行业分析报告;
3、负责数据的分析处理,协助内部分析平台建设,帮助完善产品体系;
4、负责重大安全事件和来自客户的应急响应分析;
岗位要求:
知识架构:
1.熟练掌握OD、IDA、WINDBG等调试工具。
2.熟悉Python/C/C++等至少一门语言。
3.有良好的文字能力和英文基础,可独立撰写行业分析报告。
相关经验:
1.2年以上相关病毒木马等样本的分析工作经验,有多种平台病毒木马分析经验。
2.参与过重大安全事件、黑客团伙的溯源分析。

二、兴华永恒科技有限责任公司
职位描述：
1、关注国内外出现的重大安全事件和APT攻击行动，深度分析输出相关的安全威胁信息；
2、跟进公司产品发现的高级威胁事件，进行追踪溯源和关联分析，形成专业的安全研究报告；
3、通过对安全数据的运营分析，制定和优化威胁情报的分析方式，参与相关安全项目的研发。
职位要求：
1、思路清晰，思维敏捷，有较好的英文读写能力；
2、熟悉威胁情报的获取、分析和挖掘，了解最新的黑客攻击手法；
3、3年以上安全从业经验，有过独立追踪APT事件溯源分析经验者优先。

三、中资网络信息安全科技有限公司发布于2020-12-23 威胁情报分析师
岗位职责：
1、负责威胁情报的生产、运营和优化；
2、负责情报产品的开发。
岗位要求：
1、深入理解威胁情报概念和原理，有威胁情报实战经验；
2、熟悉python或go编程语言；
3、熟悉安全事件归类和溯源分析方法；
4、有APT情报追踪溯源经验。

四、北京奇虎科技有限公司（奇虎360），招聘部门-情报云，岗位类别-高级软件工程师
1、基于云端或外部数据进行挖掘，发现高风险攻击事件或攻击团伙线索（含APT）；
2、对攻击团伙&事件进行溯源分析，获取攻击目的、攻击技战术手法、虚拟身份等；
3、产出高价值IOC情报，以及威胁分析报告；
任职要求
1、安全专业毕业，或者计算机行业毕业并在安全厂商服务2年以上；
2、掌握恶意软件分析的基本技能，可以较熟练的进行逆向分析；
3、有通过网络数据、第三方情报对攻击线索进行溯源的经验；
4、有通过云端样本、行为数据，或者VT来源对攻击线索出现发现、跟踪的经验；
5、有过新团伙、已知团伙发现经验者优先；
6、有公开的威胁分析报告编写经验者优先。

五、杭州安恒，招聘-安全威胁分析
岗位职责：
1.对产品发现的威胁数据、样本和日志进行分析，输出安全威胁分析报告。
2.负责安全事件案例、培训资料和技术方案的撰写和管理；
3.负责面向公司内部销售，技术，售后等部门的产品和技术培训；
4.根据公司安排，支持各分支机构的重要项目；
任职要求：
1.语言/书面表达能力强，同时具备较强的学习能力，能承受一定强度的工作压力。
2.熟悉常见web攻击、病毒木马的攻防原理，了解沙箱分析技术。
3.具备丰富的日志分析经验，熟悉安全设备如IDS、APT、防火墙等安全产品的使用和日志分析，对APT攻击的方法和对抗有一定见解。
4.较强的文档能力，思维清晰而有条理，注重实施和结果，注重细节。

引言和概念

现实难题

传统的防御机制根据“经验”构建安全防御策略，难以应付未知攻击。

在网络攻击呈现多样化、复杂化、专业化的趋势下，我们需要一种能够根据过去和当前网络安全状况动态调整防御策略的手段，威胁情报应运而生。

动态积极防御 VS 静态被动防御

优势：在对威胁情报进行收集及处理后，可以直接将相应的结果以机读的形式分发给安全设备，实现精准的动态防御，达到“未攻先防”的效果。

概念

简单理解，威胁情报是指对企业产生危害的信息。
威胁情报描述了现存的、或者是即将出现针对资产的威胁或危险，并可以用于通知主体针对相关威胁或危险采取某种响应。

威胁情报分析是一种基于数据的，对组织即将面临的攻击进行预测的行动。
核心价值：加快检测和响应、掌握威胁根源、辅助安全决策、让威胁治理更高效。

常见情报标签

Botnet

Botnet（僵尸网络）是指采用一种或多种传播手段，将大量主机感染bot程序（僵尸程序）病毒，从而在控制者和被感染主机之间所形成的一个可一对多控制的网络

Nitol家族

Nitol是一种通过dll劫持的方式进行蠕虫式传播的僵尸网络病毒，影响windows操作系统。其会通过网络共享和移动介质等进行传播和扩散。

危害：主要功能是搜集被感染主机的信息发送给攻击者，并接收攻击者的控制指令，可以下载和运行别的病毒家族，对外进行DDoS流量攻击，还可以作为肉鸡跳板机。

中毒症状：释放恶意lpk.dll、释放病毒文件到C:\Windows\System32目录下、添加启动项、病毒进程、网络行为

C&C服务器

命令及控制服务器（Command and Control Server，简称C&C服务器），在僵尸网络中，进行指挥的关键节点便是C&C服务器。

IDC服务器

互联网数据中心（Internet Data Center，简称IDC）也叫数据中心服务器，最初被理解为商业化的“机房”。
主要提供四种服务：主机托管、资源出租、增值服务、应用服务。

Alman蠕虫病毒

Trojan特洛伊

威胁情报分类（待）

行业标准和规范（待）

威胁情报平台

1.微步在线

地址：https://x.threatbook.cn

中国首家专业的威胁情报公司。它是国内第一个综合性的威胁分析平台，秉承公开、免费、自由注册的原则，为全球的安全分析人员提供了一个便利的一站式威胁分析平台，用来进行事件响应过程的工作，包括：事件确认、危险程度和影响分析、关联及溯源分析等。主要特征：自由公开的服务、多引擎文件检测、行为沙箱、集成互联网基础数据、集成开源情报信息、关联分析、机器学习、可视化分析。

特点：基于海量网络基础数据生产威胁情报，具有覆盖度高、可执行力强、专业性强、准确度高、可扩展性强等优势。

2.RedQueen-天际友盟

地址：https://redqueen.tj-un.com/IntelHome.html

天际友盟的情报应用解决方案已在国内多家政府机构，以及金融、互联网、通信、能源等行业的多家龙头企业得到实践，有用综合应用多项业内领先的情报应用技术。主要特征：安全情报、漏洞情报、最新资讯、威胁溯源、自由公开的服务、集成互联网基础数据、集成开源情报信息、关联分析、机器学习、可视化分析。

3.安恒威胁情报中心

地址：https://ti.dbappsecurity.com.cn/

4.360威胁情报中心

地址：https://ti.360.cn/

5.IBM X-Force Exchange

地址：https://exchange.xforce.ibmcloud.com

IBM X-Force Exchange 是一款基于云的威胁情报共享平台，支持使用、共享威胁情报并采取行动。它支持快速搜索全球最新安全威胁，汇总可操作情报、向专家咨询并与同行进行合作。IBM X-Force Exchange 由人员和机器生成的情报支持，可利用 IBM X-Force 的规模来帮助用户在新兴威胁面前保持领先地位。

6.AlienVault

地址：https://www.threatcrowd.org

它递送社区产生的威胁数据，能够协作各个来源的威胁数据，自动更新你的安全基础设施。其收购了threatcrowd，拥有IP、域名、文件、邮件等情报。主要特征：垃圾页面、钓鱼网页、恶意软件和间谍软件、匿名代理攻击和P2P网络、暗网IP、管理僵尸网络的C&C服务器、域名、IP地址、邮件地址、文件哈希、杀软检测。

情报实验室

安恒猎影实验室

个人感受

理解：数据收集分析，帮助事前预防。

病毒家族、木马、蠕虫，可以扩大视野，提高行业认知、促进职业规划，甚至是调整研究方向。

参考

《新品发布 | 安恒信息威胁情报检测平台全方位发现失陷主机》，2019-06
文章地址https://www.dbappsecurity.com.cn/show-145-363-1.html

《威胁情报专栏：谈谈我所理解的威胁情报——认识情报》，2019-06
文章地址https://blog.csdn.net/bluebubble/article/details/92798916

《Nitol病毒分析与查杀》，2017-9
文章地址https://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=35957

《命令及控制（C&C）服务器·亟需警惕的木马主犯》，2017-05
https://www.sohu.com/a/139862488_561752