資安分析師的日常

John是SOC團隊中的一位威脅分析師。他所在的SOC團隊位於隸屬於公部門組織，使用RiskIQ PassiveTotal調查入侵指標（Indicators of Compromise，IOC），透過PassiveTotal，他們在回報資安事件時大幅降低了誤報率。

PassiveTotal中擁有大量不同面向且獨特的資料集，透過RiskIQ的分析整理使這些資料產生有意義的關聯，能有效幫助調查的進行。勾勒出潛在的連結、分群類似的攻擊活動、並對調查的假設做佐證。

過去John的團隊須利用各式不同的工具來進行調查，因此在作業上會需要相當的時間去手動整合、同時工作流程會因此被切割。以我們展示John在未使用PassiveTotal前如何進行調查工作。以Lazarus Group攻擊波蘭銀行業事件中， IDS（入侵偵測系統）標識出的惡意IP作為案例：109[.]164[.]247[.]169。

1. John會先開啟網域工具查找該IP的WHOIS記錄，以獲取諸多WHOIS相關訊息，如IP解析出的HOST、WHOIS紀錄、註冊人及其email…等。
2. 同時他會開啟另一個分頁，用Mnemonic對此IP的被動DNS紀錄做查找，這幫助他了解有哪些Domain與此IP有關聯。
3. 為了瞭解此IP是否有任何來自OSINT（公開來源情報）的資訊，他會開啟多個分頁以從多方查找，如Phishtank、FireEye blog、Facebook、threat exchange…等。
4. 接下來，開啟VirusTotal，對先前從Mnemonic找到的domain做hash值比對。

至此，John對此IP有了相當程度的掌握－WHOIS資訊、被動DNS紀錄、OSINT、Hash等。示範的流程展示了各種資料來源的使用，然而在實際的調查進行中，每一個來源，都可能衍伸更多的入侵指標，John必須要花更多在時間做深入研究。由於交叉比對、跳躍的瀏覽，每個來源分析至少要花費10-15分鐘的時間。

在了解到傳統的作業流程後，以下我們來看看John及他的團隊使用PassiveTotal，同樣的調查是如何進行。

同樣針對可疑IP：109[.]164[.]247[.]169。

1. 將IP輸入至PassiveTotal平台進行查找，John馬上可以得到整合了WHOIS和被動DNS資料的熱圖（Heapmap），將該IP於各時間點與Domain的關聯視覺化呈現出來。
2. 基於熱圖上不同時期的變化，John可以調整並收斂調查範圍。歷來解析的IP/Domain都在下方Resolutions分頁列表，John在同一個畫面即可快速瀏覽所有的紀錄，找尋蛛絲馬跡。
3. 平台上的資訊皆可點及並直接查找，包含WHOIS中的Email、名稱、註冊電話…等。於此直接點擊Resolutions分頁上的結果，第一筆‘sap.misapor.ch’，即會自動執行對該Domain的查詢如下圖。

PassiveTotal整合種類豐富的資料集，調查中常使用包括：

1. WHOIS
2. SSL Certificates
3. Malware
4. OSINT
5. Trackers

整體來說，包含了被動DNS、WHOIS、SSL Certificates、Malware、OSINT、Trackers、Host Pairs、Web Components、DNS等。這些資料集的統整，使建構一個全面的調查研究變得相當快速，免除了多方收集資訊、整合零碎資訊所耗費的人力與時間。最終，僅需數分鐘即可完成調查流程。

PassiveTotal的使用者經驗

使用PassiveTotal進行調查花費的時間被大幅減少。由於PassiveTotal整合不同的資料來源於單一平台甚至畫面，幫助分析師不再需要四處瀏覽或訂閱多種資訊來源。

除了時間上的節省，資料的全面性也被眾多使用者認可，PassiveTotal能夠擁有全面的資料集，是基於RiskIQ獨家的技術－虛擬使用者（Virtual User）所爬找的大量資料。例如，Host Pairs資料集的產生是透過爬蟲尋找頁面架構，識別參考此頁面的來源、或是重新導向至其他網站。

提到Host pairs，其資料對調查波蘭銀行業的攻擊事件起了很大的作用，幫助確認了攻擊的起始點源於外部資源，惡意domain（sap.misapor.ch）透過iframe連結到了合法的波蘭銀行。

以下可以看到RiskIQ的爬蟲觀察到KNF網站透過iframe指向了兩個惡意URL：

[http]://sap.misapor.ch/vishop/view.jsp?pagenum=1

[https]://www.eye-watch.in/design/fancybox/Pnf.action

為威脅調查而存在的PassiveTotal

我們提及了Host Pairs帶來的幫助，另還有像Trackers的value值可協助我們做偽冒或釣魚網站的判斷；DNS紀錄提供多類型（MX, NS, TXT, SOA, and CNAME）紀錄以擴展鑑識的方向…等，PassiveTotal不斷擴展的資料集，幫助分析師勾勒出攻擊者的基礎設施（infrastructure）。

平台更有監控的功能，資安團隊可以在DNS、網域解析、WHOIS註冊資訊、甚至是關鍵字，發生任何變化時即收到告警通知；完整的專案控管流程，讓團隊對事件快速建立協同作業。這一切功能的設計，就是要幫助分析師及團隊能夠高效、靈活的進行調查工作。

數位資安所獨家代理數位威脅管理的領導品牌－RiskIQ，提供​PassiveTotal平台協助用戶進行網路攻擊的鑑識分析​。於RiskIQ官網可註冊社群版試用（https://www.passivetotal.org/），如需更多資訊、對平台有任何疑問，歡迎隨時聯繫數位資安。

本文參考https://www.riskiq.com/blog/analyst/threat-analyst-using-passivetotal/

數位資安系統股份有限公司

提供您最具前瞻性的世界級尖端資訊安全解決方案！

www.iSecurity.com.tw / info@iSecurity.com.tw Tel.: +886 2 7702 1088