資安分析師的日常

IP查詢－將過往複數的調查資訊來源整合於一體. 3. 平台上的資訊皆可點及並 ... 以下可以看到RiskIQ的爬蟲觀察到KNF網站透過iframe指向了兩個惡意URL：. Skiptocontent John是SOC團隊中的一位威脅分析師。

他所在的SOC團隊隸屬於公部門組織，使用RiskIQPassiveTotal調查入侵指標(IndicatorsofCompromise,IOC)，透過PassiveTotal，他們在回報資安事件時大幅降低了誤報率。

PassiveTotal中擁有大量不同面向且獨特的資料集，透過RiskIQ的分析整理使這些資料產生有意義的關聯，能有效幫助調查的進行。

勾勒出潛在的連結、分群類似的攻擊活動、並對調查的假設做佐證。

過去John的團隊須利用各式不同的工具來進行調查，因此在作業上會需要相當的時間去手動整合、同時工作流程會因此被切割。

以我們展示John在未使用PassiveTotal前如何進行調查工作。

以LazarusGroup攻擊波蘭銀行業事件中，入侵偵測系統(IntrusionDetectionSystem,IDS)標識出的惡意IP作為案例：109[.]164[.]247[.]169。

傳統的威脅調查作法 1.John會先開啟網域工具查找該IP的WHOIS記錄，以獲取諸多WHOIS相關訊息，如IP解析出的HOST、WHOIS紀錄、註冊人及其email…等。

圖1.網域工具中的WHOIS資訊 2.同時他會開啟另一個分頁，用Mnemonic對此IP的被動DNS紀錄做查找，這幫助他了解有哪些Domain與此IP有關聯。

圖2.Mnemonic中的DNS查看 3.為了瞭解此IP是否有任何來自公開來源情報(OpenSourceIntelligence,OSINT)的資訊，他會開啟多個分頁以從多方查找，如Phishtank、FireEyeblog、Facebook、threatexchange…等。

圖3.各種OSINT工具 4.接下來，開啟VirusTotal，對先前從Mnemonic找到的domain做hash值比對。

圖4.VirusTotalhash值比對 至此，John對此IP有了相當程度的掌握－WHOIS資訊、被動DNS紀錄、OSINT、Hash等。

示範的流程展示了各種資料來源的使用，然而在實際的調查進行中，每一個來源，都可能衍伸更多的入侵指標，John必須要花更多在時間做深入研究。

由於交叉比對、跳躍的瀏覽，每個來源分析至少要花費10-15分鐘的時間。

利用PassiveTotal來進行威脅調查 在了解到傳統的作業流程後，以下我們來看看John及他的團隊使用PassiveTotal，同樣的調查是如何進行。

同樣針對可疑IP：109[.]164[.]247[.]169。

1.將IP輸入至PassiveTotal平台進行查找，John馬上可以得到整合了WHOIS和被動DNS資料的熱圖（Heapmap），將該IP於各時間點與Domain的關聯視覺化呈現出來。

2.基於熱圖上不同時期的變化，John可以調整並收斂調查範圍。

歷來解析的IP/Domain都在下方Resolutions分頁列表，John在同一個畫面即可快速瀏覽所有的紀錄，找尋蛛絲馬跡。

圖5.IP查詢－將過往複數的調查資訊來源整合於一體 3.平台上的資訊皆可點及並直接查找，包含WHOIS中的Email、名稱、註冊電話…等。

於此直接點擊Resolutions分頁上的結果，第一筆‘sap.misapor.ch’，即會自動執行對該Domain的查詢如下圖。

圖6.在RiskIQPassiveTotal查詢DNS資料 PassiveTotal整合種類豐富的資料集，調查中常使用包括： (1)WHOIS (2)SSLCertificates (3)Malware (4)OSINT (5)Trackers 整體來說，包含了被動DNS、WHOIS、SSLCertificates、Malware、OSINT、Trackers、HostPairs、WebComponents、DNS等。

這些資料集的統整，使建構一個全面的調查研究變得相當快速，免除了多方收集資訊、整合零碎資訊所耗費的人力與時間。

最終，僅需數分鐘即可完成調查流程。

PassiveTotal的使用者經驗 圖7.資料顯示使用RiskIQPassiveTotal的威脅分析師節省了可觀的時間 如上圖所示，使用PassiveTotal進行調查花費的時間被大幅減少。

由於PassiveTotal整合不同的資料來源於單一平台甚至畫面，幫助分析師不再需要四處瀏覽或訂閱多種資訊來源。

圖8.資料顯示RiskIQPassiveTotal全面性的資料讓威脅分析師獲益良多 除了時間上的節省，資料的全面性也被眾多使用者認可，PassiveTotal能夠擁有全面的資料集，是基於RiskIQ獨家的技術－虛擬使用者(VirtualUser)所爬找的大量資料。

例如，HostPairs資料集的產生是透過爬蟲尋找頁面架構，識別參考此頁面的來源、或是重新導向至其他網站。

提到Hostpairs，其資料對調查波蘭銀行業的攻擊事件起了很大的作用，幫助確認了攻擊的起始點源於外部資源，惡意網域(sap.misapor.ch)透過iframe連結到了合法的波蘭銀行。

以下可以看到RiskIQ的爬蟲觀察到KNF網站透過iframe指向了兩個惡意URL： [http]://sap.misapor.ch/vishop/view.jsp?pagenum=1 [https]://www.eye-watch.in/design/fancybox/Pnf.action 圖9.HostPairs資料集能夠標示出iframes所指向外部來源 為威脅調查而存在的PassiveTotal 我們提及了HostPairs帶來的幫助，另還有像Trackers的value值可協助我們做偽冒或釣魚網站的判斷；DNS紀錄提供多類型(MX,NS,TXT,SOA,andCNAME)紀錄以擴展鑑識的方向…等，PassiveTotal不斷擴展的資料集，幫助分析師勾勒出攻擊者的基礎設施(Infrastructure)。

平台更有監控的功能，資安團隊可以在DNS、網域解析、WHOIS註冊資訊、甚至是關鍵字，發生任何變化時即收到告警通知；完整的專案控管流程，讓團隊對事件快速建立協同作業。

這一切功能的設計，就是要幫助分析師及團隊能夠高效、靈活的進行調查工作。

數位資安所獨家代理的數位威脅管理領導品牌－RiskIQ，提供​PassiveTotal平台協助用戶進行網路攻擊的鑑識分析​。

於RiskIQ官網可註冊社群版試用（https://www.passivetotal.org/），如需更多資訊、對平台有任何疑問，歡迎隨時聯繫數位資安。

Postedin新聞andtaggedExternalThreats,PassiveTotal,RiskIQ,外部威脅,威脅調查,釣魚網站. Postnavigation ←RiskI... 隔離技術的...→