2.8　威脅情報

在應急響應中，威脅情報類似一個多維度的知識庫，可以對以往相似的惡意元素進行查詢。很多時候，結合威脅情報可以從多維度快速地了解攻擊者的信息。SANS研究院對威脅情報的定義是，針對安全威脅、威脅者、利用、惡意軟件、漏洞和危害指標，所收集的用于評估和應用的數據集。Gartner對威脅情報的定義是，基于證據的知識，包括上下文、機制、指標、隱含和可操作的建議，針對一個現存的或新興的威脅，可用于做出相應決定的知識。

David J.Bianco在The Pyramid of Pain中對不同類型的威脅情報及其在攻防對抗中的價值進行了非常清晰的描述，包括文件Hash值、IP地址、域名、網絡或主機特征、攻擊工具和TTPs（Tactics，Techniques and Procedures）。在威脅情報金字塔模型中，Hash值、IP地址、域名層面的威脅情報最常見，成本相對較低；而工具、技術等層面的威脅情報成本相對較高，處于金字塔的頂端，如圖2.8.1所示。

在威脅情報中，經常會出現IOC這個概念。IOC（Indicator of Compromise）通常指在檢測或取證中，具有高置信度的威脅對象或特征信息。在應急響應中，威脅情報平臺查詢到的信息一般都屬于IOC范疇，以下介紹部分實例。

例如，對惡意IP地址101.99.84.136進行查詢，IP地址的情報標簽顯示是境外IDC、遠控木馬、Generic Trojan、Compromised、C&C、Ransomware、Satan、CobaltStrike、勒索軟件，展示了各種惡意行為，如圖2.8.2所示。

除了標記相關的惡意標簽，還會展示與IP地址相關的其他信息，包括域名反查、主機信息及數字證書等，如圖2.8.3所示。

域名的威脅情報與IP地址的查詢結果類似，只是查詢的維度不同。查詢v.y6h.net惡意域名的威脅情報，如圖2.8.4所示。

Hash查詢一般是針對惡意文件的威脅情報查詢，其會列出文件的基本特征及相關的惡意行為、網絡特征等。查詢MD5為dbf6c9317edcd74efd5c4c6ba35658fe文件的威脅情報，如圖2.8.5所示。