John是SOC團隊中的一位威脅分析師。他所在的SOC團隊隸屬於公部門組織,使用RiskIQ PassiveTotal調查入侵指標(Indicators of Compromise, IOC),透過PassiveTotal,他們在回報資安事件時大幅降低了誤報率。
PassiveTotal中擁有大量不同面向且獨特的資料集,透過RiskIQ的分析整理使這些資料產生有意義的關聯,能有效幫助調查的進行。勾勒出潛在的連結、分群類似的攻擊活動、並對調查的假設做佐證。
過去John的團隊須利用各式不同的工具來進行調查,因此在作業上會需要相當的時間去手動整合、同時工作流程會因此被切割。以我們展示John在未使用PassiveTotal前如何進行調查工作。以Lazarus Group攻擊波蘭銀行業事件中, 入侵偵測系統(Intrusion Detection System, IDS)標識出的惡意IP作為案例:109[.]164[.]247[.]169。
傳統的威脅調查作法
1. John會先開啟網域工具查找該IP的WHOIS記錄,以獲取諸多WHOIS相關訊息,如IP解析出的HOST、WHOIS紀錄、註冊人及其email…等。
圖1. 網域工具中的WHOIS資訊
2. 同時他會開啟另一個分頁,用Mnemonic對此IP的被動DNS紀錄做查找,這幫助他了解有哪些Domain與此IP有關聯。
圖2. Mnemonic中的DNS查看
3. 為了瞭解此IP是否有任何來自公開來源情報(Open Source Intelligence, OSINT)的資訊,他會開啟多個分頁以從多方查找,如Phishtank、FireEye blog、Facebook、threat exchange…等。
圖3. 各種OSINT工具
4. 接下來,開啟VirusTotal,對先前從Mnemonic找到的domain做hash值比對。
圖4. VirusTotal hash值比對
至此,John對此IP有了相當程度的掌握-WHOIS資訊、被動DNS紀錄、OSINT、Hash等。示範的流程展示了各種資料來源的使用,然而在實際的調查進行中,每一個來源,都可能衍伸更多的入侵指標,John必須要花更多在時間做深入研究。由於交叉比對、跳躍的瀏覽,每個來源分析至少要花費10-15分鐘的時間。
利用PassiveTotal來進行威脅調查
在了解到傳統的作業流程後,以下我們來看看John及他的團隊使用PassiveTotal,同樣的調查是如何進行。
同樣針對可疑IP:109[.]164[.]247[.]169。
1. 將IP輸入至PassiveTotal平台進行查找,John馬上可以得到整合了WHOIS和被動DNS資料的熱圖(Heapmap),將該IP於各時間點與Domain的關聯視覺化呈現出來。
2. 基於熱圖上不同時期的變化,John可以調整並收斂調查範圍。歷來解析的IP/Domain都在下方Resolutions分頁列表,John在同一個畫面即可快速瀏覽所有的紀錄,找尋蛛絲馬跡。
圖5. IP查詢-將過往複數的調查資訊來源整合於一體
3. 平台上的資訊皆可點及並直接查找,包含WHOIS中的Email、名稱、註冊電話…等。於此直接點擊Resolutions分頁上的結果,第一筆‘sap.misapor.ch’,即會自動執行對該Domain的查詢如下圖。
圖6.在RiskIQ PassiveTotal查詢DNS資料
PassiveTotal整合種類豐富的資料集,調查中常使用包括:
(1) WHOIS
(2) SSL Certificates
(3) Malware
(4) OSINT
(5) Trackers
整體來說,包含了被動DNS、WHOIS、SSL Certificates、Malware、OSINT、Trackers、Host Pairs、Web Components、DNS等。這些資料集的統整,使建構一個全面的調查研究變得相當快速,免除了多方收集資訊、整合零碎資訊所耗費的人力與時間。最終,僅需數分鐘即可完成調查流程。
PassiveTotal的使用者經驗
圖7. 資料顯示使用RiskIQ PassiveTotal的威脅分析師節省了可觀的時間
如上圖所示,使用PassiveTotal進行調查花費的時間被大幅減少。由於PassiveTotal整合不同的資料來源於單一平台甚至畫面,幫助分析師不再需要四處瀏覽或訂閱多種資訊來源。
圖8. 資料顯示RiskIQ PassiveTotal全面性的資料讓威脅分析師獲益良多
除了時間上的節省,資料的全面性也被眾多使用者認可,PassiveTotal能夠擁有全面的資料集,是基於RiskIQ獨家的技術-虛擬使用者(Virtual User)所爬找的大量資料。例如,Host Pairs資料集的產生是透過爬蟲尋找頁面架構,識別參考此頁面的來源、或是重新導向至其他網站。
提到Host pairs,其資料對調查波蘭銀行業的攻擊事件起了很大的作用,幫助確認了攻擊的起始點源於外部資源,惡意網域(sap.misapor.ch)透過iframe連結到了合法的波蘭銀行。
以下可以看到RiskIQ的爬蟲觀察到KNF網站透過iframe指向了兩個惡意URL:
[http]://sap.misapor.ch/vishop/view.jsp?pagenum=1
[https]://www.eye-watch.in/design/fancybox/Pnf.action
圖9. Host Pairs資料集能夠標示出iframes所指向外部來源
為威脅調查而存在的PassiveTotal
我們提及了Host Pairs帶來的幫助,另還有像Trackers的value值可協助我們做偽冒或釣魚網站的判斷;DNS紀錄提供多類型(MX, NS, TXT, SOA, and CNAME)紀錄以擴展鑑識的方向…等,PassiveTotal不斷擴展的資料集,幫助分析師勾勒出攻擊者的基礎設施(Infrastructure)。
平台更有監控的功能,資安團隊可以在DNS、網域解析、WHOIS註冊資訊、甚至是關鍵字,發生任何變化時即收到告警通知;完整的專案控管流程,讓團隊對事件快速建立協同作業。這一切功能的設計,就是要幫助分析師及團隊能夠高效、靈活的進行調查工作。
數位資安所獨家代理的數位威脅管理領導品牌-RiskIQ,提供PassiveTotal平台協助用戶進行網路攻擊的鑑識分析。
於RiskIQ官網可註冊社群版試用(https://www.passivetotal.org/),如需更多資訊、對平台有任何疑問,歡迎隨時聯繫數位資安。