网络安全赛事中开源威胁情报的妙用
字数 2258 2025-08-05 08:19:10

网络安全赛事中开源威胁情报(OSCTI)的实战应用

1. 开源网络威胁情报(OSCTI)概述

开源网络威胁情报(Open-Source Cyber Threat Intelligence, OSCTI)是详细描述针对某个组织网络安全威胁的数据集合。OSCTI具有以下特征:

  • 数据类型:可以是结构化、半结构化及非结构化数据

    • 结构化:如STIX 2.0标准的威胁情报
    • 半结构化:XML/JSON等格式的威胁情报
    • 非结构化:论坛、博客中的威胁描述

  • 定义范围:任何对于目标的描述、关联信息均可被定义为情报

  • 重点应用:应急响应过程中的样本IoC(Indicator of Compromise)分析、在线沙箱检测等

2. 实战场景分析

2.1 案例背景

在一次网络安全赛事中,分析一台被钓鱼攻击的PC机,发现:

  1. 显式提供的.docm文件:C2 Stager下载器
  2. 隐藏的exe文件:C2 Stager

赛事问题

  1. Q1: 攻击者C2 server IP地址是多少
  2. Q2: 攻击者落地C2样本md5值是多少

2.2 常规解题方法

对于Q1

  • 使用工具:tcpview/tcpdump/wireshark
  • 方法:在受害主机运行样本时监控网络连接
  • 替代方案:将样本在虚拟机中执行并观察网络连接

对于Q2

  • 发现隐藏的C2样本后,使用certutil计算MD5值

遇到的问题

  • 每次运行样本连接的IP地址不同,难以确定正确IP
  • 赛时未发现C2样本,导致Q2无法作答

3. OSCTI解题实战

3.1 微步云沙箱分析

.docm文件上传至微步沙箱:

  • 配置:Windows10 x64 bit
  • 结果:未解析出网络行为,字符串中未发现相关特征

样本分析

  • 文件包含VBA宏代码
  • 使用rundll32.exe加载并执行内存中的DLL
  • 尝试还原DLL失败

3.2 VirusTotal分析

上传样本至VT后的发现:

Behavior分析

  • 可查看网络连接、文件释放情况
  • 初始未解析出完整URL

Relations关联信息

  • 发现关联域名:http://service-ps16whvt-1304800271.sh.tencentapigw.com
  • 该域名可能是回连地址,使用腾讯云函数隐藏真实C2

3.3 ANY.RUN分析

使用ANY.RUN平台(默认配置win7x32bit)检测:

  • 成功检测到样本的下载与回连动作
  • 确认http://service-ps16whvt-1304800271.sh.tencentapigw.com为回连地址

4. 威胁情报深度利用

4.1 定位C2 Server

获取的IoC

  • C2回连域名:http://service-ps16whvt-1304800271.sh.tencentapigw.com
  • .docm样本hash:6ef475fdbe8052fe850923275247e5dafa08be83015bad755ccc421ae2ea73e8

ThreatFox情报查询

  • 搜索回连域名,发现社区用户提交的C2 Server信息
  • Q1答案122.51.7.163

4.2 确定样本MD5

VT Relation分析

  • 通过IoC关联到样本todesk.exe
  • 查看样本详情获取MD5值
  • Q2答案a831de33265fe368d7c2a6892857a232

首次提交时间:北京时间3.29号11.32分左右,证明非赛时其他选手上传

5. 赛后深度分析

5.1 威胁情报再验证

  • 重新使用微步沙箱分析.docm文件,成功获取云函数地址
  • 使用Win7x32bit沙箱环境,发现向云函数网关的HTTP请求

5.2 VB代码解混淆技术

.docm中的VBA宏代码进行解混淆:

  1. 十进制转十六进制或直接转ASCII
  2. 可直接看到云函数地址
  3. 结合威胁情报进行深度分析

6. 关键技术与工具总结

6.1 核心工具

  1. 在线沙箱平台

    • 微步云沙箱
    • VirusTotal
    • ANY.RUN

  2. 威胁情报平台

    • ThreatFox
    • VirusTotal Relations

  3. 分析工具

    • TCPView/Wireshark
    • Certutil

6.2 关键技术点

  1. 多平台交叉验证:单一平台可能遗漏关键信息,需多平台对比
  2. IoC关联分析:通过已知IoC扩展关联信息
  3. 代码解混淆:对混淆代码进行还原分析
  4. 环境选择:不同沙箱环境可能产生不同分析结果

7. 参考资源

  1. VBA宏解混淆参考:
    • https://gist.github.com/magnusstubman/18397dfd4fc6d22892cd4ee183747ef7
  2. Office宏注入技术:
    • https://kpmg.com/nl/en/home/insights/2022/05/injecting-a-cobalt-strike-beacon-from-an-office-macro-under-windows-defender.html

8. 经验总结

  1. 全面检查:不应忽略隐藏文件检查
  2. 多平台验证:单一平台可能无法获取完整信息
  3. 环境适配:不同样本在不同环境中表现可能不同
  4. 情报关联:充分利用已有IoC扩展分析范围
  5. 代码分析:对混淆代码进行耐心还原

通过本案例展示了OSCTI在网络安全赛事和实际应急响应中的关键作用,以及如何综合利用多种工具和技术解决复杂问题。

网络安全赛事中开源威胁情报(OSCTI)的实战应用 1. 开源网络威胁情报(OSCTI)概述 开源网络威胁情报(Open-Source Cyber Threat Intelligence, OSCTI)是详细描述针对某个组织网络安全威胁的数据集合。OSCTI具有以下特征: 数据类型 :可以是结构化、半结构化及非结构化数据 结构化:如STIX 2.0标准的威胁情报 半结构化:XML/JSON等格式的威胁情报 非结构化:论坛、博客中的威胁描述 定义范围 :任何对于目标的描述、关联信息均可被定义为情报 重点应用 :应急响应过程中的样本IoC(Indicator of Compromise)分析、在线沙箱检测等 2. 实战场景分析 2.1 案例背景 在一次网络安全赛事中,分析一台被钓鱼攻击的PC机,发现: 显式提供的 .docm 文件:C2 Stager下载器 隐藏的 exe 文件:C2 Stager 赛事问题 : Q1: 攻击者C2 server IP地址是多少 Q2: 攻击者落地C2样本md5值是多少 2.2 常规解题方法 对于Q1 : 使用工具:tcpview/tcpdump/wireshark 方法:在受害主机运行样本时监控网络连接 替代方案:将样本在虚拟机中执行并观察网络连接 对于Q2 : 发现隐藏的C2样本后,使用certutil计算MD5值 遇到的问题 : 每次运行样本连接的IP地址不同,难以确定正确IP 赛时未发现C2样本,导致Q2无法作答 3. OSCTI解题实战 3.1 微步云沙箱分析 将 .docm 文件上传至微步沙箱: 配置:Windows10 x64 bit 结果:未解析出网络行为,字符串中未发现相关特征 样本分析 : 文件包含VBA宏代码 使用 rundll32.exe 加载并执行内存中的DLL 尝试还原DLL失败 3.2 VirusTotal分析 上传样本至VT后的发现: Behavior分析 : 可查看网络连接、文件释放情况 初始未解析出完整URL Relations关联信息 : 发现关联域名: http://service-ps16whvt-1304800271.sh.tencentapigw.com 该域名可能是回连地址,使用腾讯云函数隐藏真实C2 3.3 ANY.RUN分析 使用ANY.RUN平台(默认配置win7x32bit)检测: 成功检测到样本的下载与回连动作 确认 http://service-ps16whvt-1304800271.sh.tencentapigw.com 为回连地址 4. 威胁情报深度利用 4.1 定位C2 Server 获取的IoC : C2回连域名: http://service-ps16whvt-1304800271.sh.tencentapigw.com .docm样本hash: 6ef475fdbe8052fe850923275247e5dafa08be83015bad755ccc421ae2ea73e8 ThreatFox情报查询 : 搜索回连域名,发现社区用户提交的C2 Server信息 Q1答案 : 122.51.7.163 4.2 确定样本MD5 VT Relation分析 : 通过IoC关联到样本 todesk.exe 查看样本详情获取MD5值 Q2答案 : a831de33265fe368d7c2a6892857a232 首次提交时间 :北京时间3.29号11.32分左右,证明非赛时其他选手上传 5. 赛后深度分析 5.1 威胁情报再验证 重新使用微步沙箱分析 .docm 文件,成功获取云函数地址 使用Win7x32bit沙箱环境,发现向云函数网关的HTTP请求 5.2 VB代码解混淆技术 对 .docm 中的VBA宏代码进行解混淆: 十进制转十六进制或直接转ASCII 可直接看到云函数地址 结合威胁情报进行深度分析 6. 关键技术与工具总结 6.1 核心工具 在线沙箱平台 : 微步云沙箱 VirusTotal ANY.RUN 威胁情报平台 : ThreatFox VirusTotal Relations 分析工具 : TCPView/Wireshark Certutil 6.2 关键技术点 多平台交叉验证 :单一平台可能遗漏关键信息,需多平台对比 IoC关联分析 :通过已知IoC扩展关联信息 代码解混淆 :对混淆代码进行还原分析 环境选择 :不同沙箱环境可能产生不同分析结果 7. 参考资源 VBA宏解混淆参考: https://gist.github.com/magnusstubman/18397dfd4fc6d22892cd4ee183747ef7 Office宏注入技术: https://kpmg.com/nl/en/home/insights/2022/05/injecting-a-cobalt-strike-beacon-from-an-office-macro-under-windows-defender.html 8. 经验总结 全面检查 :不应忽略隐藏文件检查 多平台验证 :单一平台可能无法获取完整信息 环境适配 :不同样本在不同环境中表现可能不同 情报关联 :充分利用已有IoC扩展分析范围 代码分析 :对混淆代码进行耐心还原 通过本案例展示了OSCTI在网络安全赛事和实际应急响应中的关键作用,以及如何综合利用多种工具和技术解决复杂问题。