1.4　收集過程

一旦定義了情報需求，我們就可以著手收集滿足這些需求所需的原始數據。對于這一過程，我們可以借助于兩類消息源：內部來源（如網絡和終端）和外部來源（如博客、威脅情報饋送、威脅報告、公共數據庫、論壇等）。

進行收集過程最有效的方式是使用收集管理框架（Collection Management Framework，CMF）。通過使用CMF，你可以發現數據源，并輕松跟蹤要收集的信息類型。它還可以用來對從源處獲得的數據進行評級，了解該數據存儲了多長時間，以及跟蹤源的可信度和完整性。建議你使用CMF跟蹤外部來源和內部來源。圖1.5給出了一個CMF示例。

圖1.5　簡單的CMF示例

關于使用CMF探索不同的方法和示例，Dragos分析師李（Lee）、米勒（Miller）和史黛西（Stacey）寫了一篇有趣的論文（https://dragos.com/wp-content/uploads/CMF_For_ICS.pdf?hsCtaTracking=1b2b0c29-2196-4ebd-a68c-5099dea41ff6|27c19e1c-0374-490d-92f9-b9dcf071f9b5）。

另一個可用于設計高級收集過程的重要資源是收集管理實施框架（https://studylib.net/doc/13115770/collection-management-implementation-framework-what-does-...），該框架由美國軟件工程研究所（Software Engineering Institute）設計。

1.4.1　危害指標

到目前為止，我們已經討論了如何確定情報需求以及如何使用CMF。但是，我們要收集什么樣的數據呢？

顧名思義，危害指標（IOC）是在網絡或操作系統中觀察到的一種工件，它高度可靠地表明目標已失陷。這些數據可用于了解發生了什么，但如果收集得當，它還可以用來防止或檢測持續的破壞行為。

典型的IOC可能包括惡意文件的散列值、URL、域、IP、路徑、文件名、注冊表鍵和惡意軟件文件本身。

重要的是要記住，為了保證數據真正有用，有必要提供收集到的IOC的上下文信息。在這里，我們可以遵循質量重于數量的原則——大量的IOC并不總是意味著更好的數據。

1.4.2　了解惡意軟件

惡意軟件（Malicious software，Malware）可能是非常有價值的信息來源。在探討不同類型的惡意軟件之前，了解惡意軟件的工作原理非常重要。這里，我們需要介紹兩個概念：釋放器（Dropper）和命令與控制（Command and Control，C2或C2C）。

釋放器是一種特殊類型的軟件，用于安裝惡意軟件。我們有時會將其分為單階段和兩階段釋放器，分別對應于釋放器中是否包含惡意軟件代碼。當釋放器中未包含惡意代碼時，它將從外部來源下載到受害者的設備。一些安全研究人員可能會將這種兩階段類型的釋放器稱為下載者，指需要進一步將不同代碼段放在一起（通過解壓縮或執行不同的代碼段）來構建惡意軟件。

C2是攻擊者控制的計算機服務器，用于向受害者系統中運行的惡意軟件發送命令。這是惡意軟件與其“所有者”通信的方式。可以通過多種方式建立C2，而且，根據惡意軟件的功能，可以建立的命令和通信的復雜性可能會有所不同。例如，可以看到威脅行為體使用基于云的服務、電子郵件、博客評論、GitHub資源庫和DNS查詢等進行C2通信。

根據其功能，惡意軟件可以分為不同的類型，有時，一款惡意軟件可以被歸類為多個類型。以下是最常見的類型：

●蠕蟲：能夠通過網絡自我復制和傳播的自主程序。

●特洛伊木馬：一個看似服務于指定目的的程序，但也有一種隱藏的惡意能力，可以繞過安全機制，從而濫用給予它的授權。

●Rootkit：一組具有管理員權限的軟件工具，旨在隱藏其他工具及其活動。

●勒索軟件：一種在支付贖金之前拒絕用戶訪問系統或其信息的計算機程序。

●鍵盤記錄器：在用戶不知情的情況下記錄鍵盤事件的軟件或硬件。

●廣告軟件：向用戶提供特定廣告的惡意軟件。

●間諜軟件：在所有者或用戶不知情的情況下安裝到系統中的軟件，目的是收集有關用戶的信息并監控其活動。

●恐嚇軟件：誘騙計算機用戶訪問失陷網站的惡意軟件。

●后門：讓某些人可以在計算機系統、網絡或軟件應用程序中獲得管理員用戶訪問權限的方法。

●擦除器：擦除其感染的計算機硬盤的惡意軟件。

●攻擊套件：用于管理可能將惡意軟件用作有效載荷的漏洞集合的包。當受害者訪問失陷網站時，它會評估受害者系統中的漏洞，以便利用某些漏洞。

惡意軟件家族指一組具有共同特征的惡意軟件，并且很可能由同一作者發布。有時，惡意軟件家族可能與特定的威脅行為體直接相關。有時，惡意軟件（或工具）在不同的組之間共享。公開可用的開源惡意軟件工具通常就是這樣。對手通常利用它們來偽裝自己。

現在，我們來快速了解一下如何收集關于惡意軟件的數據。

1.4.3　使用公共資源進行收集：OSINT

開源情報（Open Source INTelligence，OSINT）收集是收集公開數據的過程。當談及OSINT時，人們腦海中浮現的最常見來源是社交媒體、博客、新聞和暗網。從本質上講，任何公開可用的數據都可以用于OSINT。

重要提示：

對于那些希望開始收集信息的人來說，有很多很好的資源，VirusTotal（https://www.virustotal.com/）、CCSS論壇（https://www.ccssforum.org/）和URLHaus（https://urlhaus.abuse.ch/）都是開始收集過程的好地方。

另外，請訪問OSINTCurio.us（https://osintcurio.us/）以了解有關OSINT資源和技術的更多信息。

1.4.4　蜜罐

蜜罐是模仿可能的攻擊目標的誘餌系統。我們可以設置一個蜜罐來檢測、轉移或對抗攻擊者。所有收到的流量都被認為是惡意的，與蜜罐的每一次交互都可以用來研究攻擊者的技術。

蜜罐有很多種（詳見https://hack2interesting.com/honeypots-lets-collect-it-all/），它們大致可以分為三類：低交互、中等交互和高交互蜜罐。

低交互蜜罐模擬傳輸層，提供的對操作系統的訪問非常有限。中等交互蜜罐模擬應用層，以引誘攻擊者發送有效載荷。高交互蜜罐通常涉及真實的操作系統和應用程序。蜜罐更適合揭露未知漏洞的濫用問題。

1.4.5　惡意軟件分析和沙箱

惡意軟件分析是研究惡意軟件功能的過程。通常，我們可以將惡意軟件分析分為兩種類型：動態和靜態。

靜態惡意軟件分析是指在不執行軟件的情況下分析正在使用的軟件。逆向工程是靜態惡意軟件分析的一種形式，使用反匯編程序（如IDA或最近的NSA工具Ghidra等）來執行。

動態惡意軟件分析是通過觀察惡意軟件在執行后的行為來實現的。這類分析通常在受控環境中進行，以避免感染生產系統。

在惡意軟件分析的上下文中，沙箱是用于自動動態分析惡意軟件片段的隔離且受控的環境。在沙箱中，執行可疑惡意軟件片段并記錄其行為。

當然，事情并不總是這么簡單，惡意軟件開發人員實現了一些技術來防止惡意軟件被沙箱分析。與此同時，安全研究人員也開發了相應的技術來繞過威脅行為體的反沙箱技術。盡管存在這種貓捉老鼠的行為，沙箱系統仍然是惡意軟件分析過程中至關重要的一部分。

提示：

有一些很棒的在線沙箱解決方案，比如Any Run（https://any.run）和Hybrid Analysis（https://www.hybrid-analysis.com/）。Cuckoo Sandbox（https://cuckoosandbox.org/）是一個適用于Windows、Linux、macOS和Android的開源離線沙箱系統。