【安全百科】威胁情报小百科第8期:《威胁情报的对象》

威胁情报小能手 2021-10-13 14:16:24 128人浏览

干货满满的《威胁情报小百科》第8期来了,每周一点小知识。

这次我们主要浅谈下威胁情报的对象。这里说的对象可不是这个对象:

威胁情报对象包括:威胁主体和受威胁的目标。

一、什么是威胁主体

威胁主体是指,出于恶意目的进行操作的实际个人、团体或组织。

就是我们面对攻击,脱口而出:

威胁主体不单单是入侵集,但随着时间的推移可能会隶属于各种入侵集、组或组织。

*APT组织(高级持续性威胁组织)就是一种典型威胁主体。

APT组织指长期针对特定对象发起攻击的组织。他们的攻击活动具有针对性强、组织严密、持续时间长、高隐蔽性和间接攻击的特点。通常会运用受感染的各种介质、供应链和社会工程学等多种手段实施先进的、持久的且有效的威胁和攻击。

威胁主体的记录维度:

 

威胁主体

威胁者或威胁组织的名称

关于威胁者或组织的名称的描述

威胁者或组织的类型

威胁者或组织的其他名称

首次出现时间

最后出现时间

威胁动机

威胁技术特点

 

以APT组织“肚脑虫(Donot)”为例,每个维度都有它的应用价值:

APT组织信息

应用价值

名称:肚脑虫(Donot)

加入APT组织列表,全球追踪

描述:肚脑虫(Donot)组织,具有印度背景,主要针对巴基斯坦、克什米尔地区等南亚地区国家进行网络间谍活动的组织,通常以窃密敏感信息为目的。该组织具备针对Windows与Android双平台的攻击能力,其主要使用yty和EHDevel等恶意软件框架。攻击活动最早发现在2016年4月,目前仍持续活跃。国内受影响度相对较小。

获取APT组织的描述,便于迅速认识该组织的基本信息

类型:APT组织

高级持续性威胁组织,全球追踪关注

其他名称:Donot Team、APT-C-35、SectorE02、DonotTeam、Donot、肚脑虫

不同国家文献下描述的差别,都是指向同一个组织

首次出现时间:2016年4月

根据最早的发现时间,安全研究人员可以及时结合当下,关联攻击与重大事件,跟踪变种,研究入侵路径可能性、研究扩散性、传播范围,越早发现,价值越大

最后出现时间:2021年

根据威胁的最近活跃时间,结合早期发现的研究,可以深度分析,将情报信息与攻击团队、攻击样本相关联,研究样本变异,检测攻击目的,进行攻击预判

威胁动机:信息窃取与间谍活动

掌握动机可以了解对方的攻击目标,攻击意图,更针对性提前预防。

威胁技术特点:具备针对Windows与Android双平台的攻击能力,其主要使用yty和EHDevel等恶意软件框架

了解技术特点,不断加强安全防御

历史事件:

 

长期积累的事件整理,结合时间线分析研究,持续性了解威胁组织的行为和攻击手法,有利于提供及时可靠的威胁情报

 

*常见的APT组织可以在安恒威胁情报中心TI平台查看,包含多个APT组织的介绍和事件追踪:https://ti.dbappsecurity.com.cn/apt/list

二、什么是受威胁目标

受威胁的目标是指软件、硬件、系统、组件、固件等资产因逻辑、设计或实现中的弱点或缺陷被威胁主体所利用或造成负面影响。

也就是面对攻击,继续脱口而出:

了解攻击者利用了哪些弱点和缺陷进行攻击,有助于我们后续更好防范。

受威胁目标的记录维度,以猎影实验室发现的0day漏洞为例:

目标名称:

最新版Windows10系统的内核提权漏洞

目标类型:

该漏洞属于WindowsDirectComposition组件范畴

目标描述:

该漏洞是一个由dwmcore.dll模块中CinteractionTrackerBindingManager对象引用计数不平衡引发的UAF漏洞。在具体的触发逻辑上和CVE-2021-26900漏洞存在一些相似之处。该漏洞只影响Windows 10,不影响Windows 8.1及以下系统。

目标引用信息:如CVE ID、CNNVD ID等

CVE-2021-33739

详细记录受影响目标信息,更好归类资产安全问题,便于即时记录,跟踪,复盘和后续有针对性预防。

 

本次我们了解的威胁对象包括威胁主体和受威胁目标,简单来说就是“是谁”和“在搞什么东西”,下节课我们讲解攻击方法,深度探讨“怎么搞”。我们下期见!

 

全部小百科点击图片查看:

威胁情报小百科
    0条评论
    0
    0
    分享
    安恒威胁情报中心专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。