afiamawuda/MISP-Threat-Intelligence
GitHub: afiamawuda/MISP-Threat-Intelligence
该项目记录了在实验室环境中使用 MISP 平台进行威胁情报调查的全流程实践,涵盖勒索软件、APT 活动、DDoS 恶意软件及企业漏洞的多维度情报分析。
Stars: 0 | Forks: 0
# MISP 威胁情报调查
## 勒索软件、威胁行为者和企业漏洞的威胁情报分析
## 概述
本项目记录了使用 Malware Information Sharing Platform (MISP) 进行的威胁情报调查。重点是使用真实世界的威胁情报数据分析勒索软件活动、国家级威胁行为者、DDoS 恶意软件以及企业漏洞。
本项目的目标是通过分析失陷标示符 (IOC)、关联对手活动并将发现映射到 MITRE ATT&CK 框架,来模拟 SOC 威胁情报分析师的工作流程。
## 目标
在本次调查中,我负责了以下工作:
- 分析勒索软件情报事件 (LockBit, Babuk)
- 调查 APT 活动 (Turla Group)
- 研究 DDoS 僵尸网络恶意软件
- 分析企业漏洞 (MiVoice CVE 利用)
- 提取并关联失陷标示符 (IOC)
- 将攻击者行为映射到 MITRE ATT&CK 框架
## 实验环境
组件 | 详情 |
| ------------------ | -------------------------------------------------------------- |
| 平台 | Malware Information Sharing Platform (MISP) |
| 调查类型 | 威胁情报分析 |
| 重点领域 | 勒索软件、威胁行为者、恶意软件、漏洞情报 |
| 框架 | MITRE ATT&CK |
| 模拟角色 | 威胁情报分析师 |
## 工具与框架
- MISP 威胁情报平台
- 基于网页的威胁情报研究(在实验室环境内)
- MITRE ATT&CK 框架
- 威胁行为者和恶意软件数据集
## 调查流程
本次调查包括审查 MISP 平台中可用的多个威胁情报事件。每个事件都包含与勒索软件活动、恶意软件家族、威胁行为者、已利用漏洞和失陷标示符相关的情报。
调查包括:
- 在 MISP 威胁情报源中搜索与勒索软件相关的事件
- 审查与 LockBit 和 Babuk 勒索软件相关的情报报告
- 检查用于识别恶意软件特征的 YARA 规则
- 调查 Turla 威胁行为者活动及相关的钓鱼活动
- 审查对手技术的 MITRE ATT&CK 映射
- 分析 DDoS 恶意软件活动,包括 CoalaBot 和 Rhombus
- 研究影响 MiVoice Connect 的企业漏洞
- 关联标示符、恶意软件特征和威胁情报报告
## 调查亮点
### 勒索软件情报
- 分析了 LockBit 和 Babuk 勒索软件活动
- 提取了域名、文件哈希和恶意软件特征
- 审查了用于恶意软件检测的 YARA 规则
截图:MISP 中的勒索软件搜索结果
截图:LockBit 事件页面
截图:Babuk YARA 规则
截图:IOC 列表(域名、哈希、IP)
### 威胁行为者分析 (Turla Group)
- 调查了 APT Turla (G0010)
- 审查了钓鱼活动和诱饵文档
- 将活动映射到 MITRE ATT&CK 技术
截图:Turla 事件页面
截图:MITRE ATT&CK 矩阵
截图:威胁行为者星系视图
截图:钓鱼诱饵文档
### DDoS 恶意软件情报
检查了与 CoalaBot 和 Rhombus 恶意软件相关的僵尸网络基础设施,
识别了命令与控制通信模式以及系统失陷标示符。
截图:CoalaBot 事件
截图:Rhombus 恶意软件事件
### 漏洞情报 (MiVoice / Lorenz)
- 调查了 MiVoice Connect CVE 利用
- 审查了勒索软件持久化技术
- 分析了 Lorenz 勒索软件生命周期
截图:MiVoice CVE 事件
截图:Arctic Wolf 报告工件
截图:Lorenz 勒索软件星系
## MITRE ATT&CK 映射
观察到的对手战术包括:
- 初始访问(钓鱼活动)
- 持久化
- 权限提升
- 收集
- 命令与控制
这些战术展示了从初始访问到持久化和数据收集活动的完整攻击生命周期。
## 失陷标示符 (IOC)
- IP 地址
- 域名
- URL
- 文件哈希 (MD5 / SHA256)
- 恶意软件文件名
- CVE 标识符
## 检测机会
本次调查突出了在安全运营中心内改进威胁检测的几个机会。
潜在的防御行动包括:
- 监控通过威胁情报源识别出的已知恶意 IP 地址和域名
- 部署 YARA 特征码以检测勒索软件特征
- 使用 MISP IOC 源丰富 SIEM 告警
- 监控与已知 ATT&CK 技术相关的端点活动
- 优先修复受已知 CVE 影响的面向互联网的系统
- 将 IOC 匹配与端点和网络遥测数据相关联,以提高检测保真度
## 关键要点
该项目演示了威胁情报如何通过将原始标示符与真实的对手行为联系起来,从而支持 SOC 运营。
它强调了关联多个情报源(IOC、恶意软件数据、ATT&CK 映射和漏洞报告)以理解攻击活动的重要性,而不是分析孤立的特征。
## 展示技能
- 威胁情报分析
- IOC 关联
- 恶意软件研究
- 威胁行为者分析
- MITRE ATT&CK 映射
- SOC 调查工作流
- 漏洞情报
## 截图
(所需截图见上述章节)
## 经验教训
这项调查帮助我理解到,威胁情报不仅仅是收集失陷标示符,更重要的是围绕攻击者的行为建立上下文。
使用 MISP 让我了解到勒索软件活动、威胁行为者、恶意软件和漏洞之间是如何相互关联的。我学习了如何在不同情报源之间进行枢纽分析,以更清晰地描绘对手活动,而不是孤立地对待每一个标示符。
它还改进了我对 SOC 调查的思考方式,尤其是清晰记录调查结果的重要性,以便其他分析师能够快速理解并根据这些信息采取行动。这段经历增强了我将威胁情报作为检测和事件响应工作流一部分的信心,这也是我计划继续培养的技能。
## 备注
本次调查是在受控实验室环境中使用 MISP 完成的,是 SOC 和威胁情报培训的一部分。
标签:CISA项目, Cloudflare, IP 地址批量处理, MITRE ATT&CK, 勒索软件, 威胁情报, 安全运营, 开发者工具, 扫描框架, 漏洞分析, 路径探测