Michaelsalaja/Detection-Lab
GitHub: Michaelsalaja/Detection-Lab
该项目通过在家庭实验室中使用公开威胁情报工具检测和分析各类入侵指标,展示安全运营中心分析师的实操技能。
Stars: 2 | Forks: 0
# Detection-Lab
## 目标
Detection Lab 项目旨在通过在我的家庭实验室中检测 IoC 并审查威胁情报来源,来展示我的安全运营技能。通过分析 IoC 并探索公开的威胁情报源,我作为安全分析师能够快速评估潜在威胁,了解其上下文,寻找潜在的入侵迹象,并启动有效的响应措施。
### 使用的工具
为了演示我在家庭实验室中进行实验的步骤,我使用了以下免费工具。
- VirusTotal:这是一个强大的恶意软件扫描服务,由一家西班牙安全公司创建,可帮助安全分析师通过文件、文件哈希和 URL 分析可疑文件和 URL,以揭示不同类型的恶意软件行为和恶意内容。将敏感数据上传到 VirusTotal 存在不利因素,因为任何支付 VirusTotal 使用费用的用户都可以访问并下载任何已上传的文件。这就是为什么 VirusTotal 明确强调其不对上传到其平台的任何数据负责的原因。
- MalShare:这是一个免费的恶意软件存储库平台,为研究人员提供样本和恶意 Feed 访问权限,用于将文件哈希分析为 IoC、识别恶意文件并收集有关恶意软件的威胁情报。
- AbuseIPDB:该平台用于审查作为 IoC 的 IP 地址,有助于提供用于威胁分析的恶意活动、滥用报告和信誉信息。
- Cisco Talos Intelligence:该平台用于调查作为 IoC 的域名或 URL,评估其信誉、关联的 IP 以及安全警报,以支持威胁情报。
## 步骤
PART A:使用 MalShare / VirusTotal 审查文件哈希
在此项目期间,MalShare 网站在失去其托管提供商后关闭,这使我转而使用 VirusTotal。
步骤 1
- 我双击桌面上的 Google Chrome 打开它,并在地址栏中输入:https://virustotal.com/。
- 在快速搜索栏中,我输入了我获取用于分析的哈希值 44d88612fea8a8f36de82e1278abb02f,然后按回车键。
EICAR
- 该哈希值是从名为 EICAR 的病毒中提取的。它是用于检测和测试防病毒软件的测试字符串。它是一种“伪病毒”,旨在触发防病毒引擎发出警报。
- 这有助于防病毒引擎展示其识别基于签名的恶意软件并消除其威胁的能力。
```
Figure 1: Code Insights
```
步骤 2
根据下面详情部分的输出,66 家(共 68 家)安全供应商将 EICAR 标记为恶意文件,尽管它只是一个病毒测试文件。
```
Figure 2: EICAR Virus
```
```
Figure 3: EICAR Virus
```
```
Figure 4: EICAR Virus
```
- 我分析了该测试字符串,以了解它们的判定结果、信誉评分、旨在识别 EICAR 的各种防病毒引擎对 EICAR 病毒的看法,包括来自社区的评论,从而为我的调查提供更多背景信息。
```
Figure 5: Details Section
```
- 在详情部分,对 EICAR 病毒的历史、属性和签名名称进行了上下文说明。该文本字符串于 2012 年 6 月 14 日首次被安全供应商检测到。MD5 哈希、SHA-1、SHA-256 总和被描绘为该 powershell 文件的属性。除了 SHA-256 之外,MD5 和 SHA-1 都是容易导致碰撞的弱算法。像 MD5 和 SHA-1 这样的弱算法构成了密码学漏洞,容易导致碰撞攻击,从而降低密码安全性。著名的真实案例有:
Heartbleed (OpenSSL) —— 暴露了加密通信
KRACK (WPA2) —— 允许了 Wi-Fi 流量拦截
```
Figure 6.1: Relations Sections
```
```
Figure 6.2: Relations Sections
```
- 关系部分向我们展示了 EICAR 病毒联系过的各种类型的域名、与该“伪病毒”有过接触的 IP 地址,包括执行父项和释放的文件。这些为我们调查此文件哈希提供了额外的上下文。
图 7:Behavior 部分
图 8:MITRE ATT&CK
Behavior 部分以签名、入侵检测系统 (IDS) 规则、SIGMA 规则、释放的文件和网络通信的形式为我们提供了 MITRE ATT&CK 战术和技术。
```
Figure 9: Community Section
```
- 这个 Community 部分为我们概述了 EICAR 签名文件背后的供应商或威胁猎手。
PART B:使用 AbuseIPDB 审查 IP 地址
步骤 1
在地址栏中,我输入了 https://www.abuseipdb.com/ 并通过了验证码验证
```
Figure 10.1: Homepage
```
```
Figure 10.2: Homepage
```
```
Figure 11: The AbuseIPDB Search Field
```
- 审查 IP 详情(包括滥用报告数量、滥用类别(如黑客攻击、垃圾邮件)、最后报告日期和来源国家/地区)后,搜索返回的结果表明该 IP 地址在数据库中被发现。
- 该 IP 地址已被来自 730 个不同来源报告了 6,531 次,滥用置信度评为 100%。
与该 IP 地址相关的滥用活动于 2020 年 11 月 21 日首次被报告,并且该 IP 地址的滥用活动目前仍在继续。
PART C:使用 Cisco Talos Intelligence 审查域名
- 鉴于威胁狩猎涉及在环境中主动搜索恶意事件和活动,以发现持续的网络攻击,我认为每个安全分析师都必须依赖与情报小组的沟通,从而腾出空间快速有效地做出响应以缓解威胁。
- 因此,我决定探索 Cisco Talos Intelligence 平台,以调查可疑域名并将其作为 IoC。
步骤 1
```
I opened a new tab
```
步骤 2
```
In the address bar, I typed in https://talosintelligence.com/
```
```
Figure 12: Homepage
```
步骤 3
```
In the search field, I entered a suspicious domain as www.example.com and pressed Enter
```
```
Figure 13: Returned Results
```
返回的结果显示了多个与该主机名关联的 IP 地址。邮件信誉评级为差。
## 结果
### 学到的技能
- 检测并审查了作为文件哈希、IP 地址和域名的 IoC。
- 使用 VirusTotal 审查了文件哈希,以确定文件类型、大小、检测结果和关联的恶意软件家族。由于在失去托管提供商后平台无限期暂停,MalShare 的使用未能成功。
- 通过 AbuseIPDB 评估了 IP 地址,以评估其信誉、滥用报告数量、滥用类别和来源。
使用 Cisco Talos Intelligence 调查了一个域名,以检查信誉评分、Web 类别、相关 IP、历史数据和安全警报。
## 进一步研究
可以从 urlhaus.abuse.ch/ 获取恶意 URL,以进行进一步的调查和分析。该数据库包含数十个用于测试目的的恶意 URL。
```
Figure 14: Returned Results
```
## 即将进行的附加任务:
- 在线查找可疑 URL 或钓鱼链接(确保分析是合法和符合道德的),然后将该 URL 提交给 VirusTotal 并解释扫描结果。
- 使用各种工具生成文件的哈希值(MD5、SHA-1 和 SHA-256),然后将这些哈希值提交给 VirusTotal,并观察平台如何将不同的文件实例与相同的哈希值关联起来。
- 识别在 VirusTotal 上被防病毒引擎标记为误报的文件。
- 识别文件或 URL 行为随时间变化的模式或变化。
```
Figure 1: Code Insights
```
步骤 2
根据下面详情部分的输出,66 家(共 68 家)安全供应商将 EICAR 标记为恶意文件,尽管它只是一个病毒测试文件。
```
Figure 3: EICAR Virus
```
```
Figure 4: EICAR Virus
```
- 我分析了该测试字符串,以了解它们的判定结果、信誉评分、旨在识别 EICAR 的各种防病毒引擎对 EICAR 病毒的看法,包括来自社区的评论,从而为我的调查提供更多背景信息。
```
Figure 5: Details Section
```
- 在详情部分,对 EICAR 病毒的历史、属性和签名名称进行了上下文说明。该文本字符串于 2012 年 6 月 14 日首次被安全供应商检测到。MD5 哈希、SHA-1、SHA-256 总和被描绘为该 powershell 文件的属性。除了 SHA-256 之外,MD5 和 SHA-1 都是容易导致碰撞的弱算法。像 MD5 和 SHA-1 这样的弱算法构成了密码学漏洞,容易导致碰撞攻击,从而降低密码安全性。著名的真实案例有:
Heartbleed (OpenSSL) —— 暴露了加密通信
KRACK (WPA2) —— 允许了 Wi-Fi 流量拦截
```
Figure 6.1: Relations Sections
```
图 7:Behavior 部分
图 8:MITRE ATT&CK
Behavior 部分以签名、入侵检测系统 (IDS) 规则、SIGMA 规则、释放的文件和网络通信的形式为我们提供了 MITRE ATT&CK 战术和技术。
```
Figure 9: Community Section
```
- 这个 Community 部分为我们概述了 EICAR 签名文件背后的供应商或威胁猎手。
PART B:使用 AbuseIPDB 审查 IP 地址
步骤 1
在地址栏中,我输入了 https://www.abuseipdb.com/ 并通过了验证码验证
```
Figure 10.2: Homepage
```
```
Figure 11: The AbuseIPDB Search Field
```
- 审查 IP 详情(包括滥用报告数量、滥用类别(如黑客攻击、垃圾邮件)、最后报告日期和来源国家/地区)后,搜索返回的结果表明该 IP 地址在数据库中被发现。
- 该 IP 地址已被来自 730 个不同来源报告了 6,531 次,滥用置信度评为 100%。
与该 IP 地址相关的滥用活动于 2020 年 11 月 21 日首次被报告,并且该 IP 地址的滥用活动目前仍在继续。
PART C:使用 Cisco Talos Intelligence 审查域名
- 鉴于威胁狩猎涉及在环境中主动搜索恶意事件和活动,以发现持续的网络攻击,我认为每个安全分析师都必须依赖与情报小组的沟通,从而腾出空间快速有效地做出响应以缓解威胁。
- 因此,我决定探索 Cisco Talos Intelligence 平台,以调查可疑域名并将其作为 IoC。
步骤 1
```
I opened a new tab
```
步骤 2
```
In the address bar, I typed in https://talosintelligence.com/
```
```
Figure 12: Homepage
```
步骤 3
```
In the search field, I entered a suspicious domain as www.example.com and pressed Enter
```
```
Figure 13: Returned Results
```
返回的结果显示了多个与该主机名关联的 IP 地址。邮件信誉评级为差。
## 结果
### 学到的技能
- 检测并审查了作为文件哈希、IP 地址和域名的 IoC。
- 使用 VirusTotal 审查了文件哈希,以确定文件类型、大小、检测结果和关联的恶意软件家族。由于在失去托管提供商后平台无限期暂停,MalShare 的使用未能成功。
- 通过 AbuseIPDB 评估了 IP 地址,以评估其信誉、滥用报告数量、滥用类别和来源。
使用 Cisco Talos Intelligence 调查了一个域名,以检查信誉评分、Web 类别、相关 IP、历史数据和安全警报。
## 进一步研究
可以从 urlhaus.abuse.ch/ 获取恶意 URL,以进行进一步的调查和分析。该数据库包含数十个用于测试目的的恶意 URL。
```
Figure 14: Returned Results
```
## 即将进行的附加任务:
- 在线查找可疑 URL 或钓鱼链接(确保分析是合法和符合道德的),然后将该 URL 提交给 VirusTotal 并解释扫描结果。
- 使用各种工具生成文件的哈希值(MD5、SHA-1 和 SHA-256),然后将这些哈希值提交给 VirusTotal,并观察平台如何将不同的文件实例与相同的哈希值关联起来。
- 识别在 VirusTotal 上被防病毒引擎标记为误报的文件。
- 识别文件或 URL 行为随时间变化的模式或变化。标签:威胁情报, 安全实验环境, 安全运营, 开发者工具, 扫描框架, 攻击指标分析