笔者是一名乙方安全运营的蓝队分析师,每天要分析不同厂家甚至不同时期的安全产品告警,传统的安全产品往往不具备情报功能,公司采购了商业版的SIEMS,也不具备情报功能。而我在分析告警时,由于缺少其它证据的佐证,不能立即定性,需要情报来辅助确定。
威胁情报(IOC)是个好东西,但是准确率往往差强人意,单独使用效果不佳。如果与其它威胁检测方法(例如安全设备通过规则、算法产出的告警)配合使用,可大幅提升准确率。
因此我们开发了一款Chromium扩展——星维·蓝队分析师助手(以下简称蓝队助手)。不管安全产品的后台有无IOC分析功能,只要使用安装有蓝队助手的浏览器访问时,都可以让它具备基础的IOC功能。蓝队助手会将网页中的告警与情报自动碰撞,提醒你哪些是要优先处理的,或者帮助你去。
一键查询IOC平台
蓝队助手可以帮助分析师一键查询各类第三方的IOC平台,再也不需要用复制粘贴的方式去IOC平台去查询。
当分析师使用鼠标,用拖曳的方式选择网页中的IP或者Domain的时候,在鼠标旁边会出现一个写着“查情报:xxxx”的按钮,点击按钮,会自动打开第三方的IOC平台自动查询刚才选择的内容,无需人工选择IOC类型,程序会自动识别输入数据的类型并选择合适的查询方式,整个过程一键查询,非常方便。
如果选择一段普通的文本,则不会出现这个按钮,因此本插件不会影响日常使用。
目前“蓝队助手”支持8个平台的一键查询,包括4个威胁情报平台(微步在线、360威胁情报中心、VirusTotal、绿盟威胁情报中心),2个网络空间搜索引擎(ZoomEye、FOFA),以及2个基础信息查询平台(查询旁站和Whois信息)。选择相应的平台,即可进行一键查询。
很多安全公司购买了商业版情报,或者自己搭建了一套IOC平台。对于这类私有IOC平台,“蓝队助手”同样支持。但有一个前提条件,情报平台需支持GET传参的方式进行查询。
在扩展中选择自定义,按如下方式进行配置:
https://www.your_corp_ioc.com/s?ip_ioc={IP}
https://www.your_corp_ioc.com/s?domain_ioc={DOMAIN}
意思是当用户选择的是IP,查询的URL是https://www.your_corp_ioc.com/s?ip_ioc={IP}
({IP}会自动已换成用户选择的域名内容)。同样的,当用户选择了域名,查询的URL是https://www.your_corp_ioc.com/s?domain_ioc={DOMAIN} ({DOMAIN}会自动已换成用户选择域名内容)
离线情报的使用
离线情报碰撞
很多蓝队的分析环境是严格的内外网隔离的,而且有些客户非常介意把内部的IP/Domain发送至互联网的第三方,因此无法使用线上的情报平台。
为解决这个问题,“蓝队助手”支持先把情报更新到本地浏览器,然后再进行使用,使用过程中不会向互联网发送任何数据,这样蓝队可以在离线、敏感的环境中进行使用。
使用时,“蓝队助手”会遍历网页中的每一段文本,使用正则提取其中的IP/Domain,与本地情报进行碰撞,碰撞成功后标红加粗显示。如图。
离线情报的制作
小助手默认使用的是星维九州官方提供的一份开源情报,我们会不定期的对这份情报进行更新和维护:
https://starso.oss-cn-beijing.aliyuncs.com/starso_opensource_ioc.txt
您也可以使用自定义的情报,不过需要按照一定的算法生成情报文件,小助手才可以使用。
具体方式为:将情报标记的IP和domain进行MD5计算, 只取前7位。这种算法不仅可以保证情报的安全(防止剽窃明文),又可以对情报进行压缩。算法如下:
ioc_hash=md5(ioc_text)[0:7]
然后将ioc_hash一行一个保存在文本文件中,格式如图:
将这份情报文件放置于Web目录下,在小助手中的“情报更新地址”中填写该情报文件的URL即可:
点击保存按钮后即可更新情报至本地,整个更新过程是异步进行,不管你的情报文件有多大,更新会在点击保存按钮后3-5分钟更新至浏览器本地,更新成功后没有提示。
本地情报存储使用的是浏览器提供的indexedDB,这是一个key-value型的数据库,类似于redis,执行效率较高,不会引起卡顿。
安装
在线安装
我曾把它上传至Chrome市场,但由于小助手使用的权限较高(需要在每个网页的上下文中执行扩展的js),审核较为繁琐,于是作罢。国产浏览器审核较为宽松,可通过360极速浏览器的市场,搜索关键字“星维”,进行安装。
本地安装
我们对本项目进行了开源,可通过github下载源文件:
git clone https://github.com/starso-sec/BlueTeamHelper.git
打开浏览器的扩展中心(或直接在地址栏输入:chrome://extensions/),打开“开发者模式”,点击“加载已解压的扩展”,选择上述命令下载的文件夹(名为BlueTeamHelper)即可。
发表评论
您还未登录,请先登录。
登录