威脅情資分析是徹底暸解攻擊事件最重要的步驟。
有很多分析方法，例如 5W1H、Cyber Kill Chain、Diamond Model，
這邊只講 5W1H

• When (何時)：什麼時候打的
• Where (哪裡)：可以是 cyber kill chain 的階段或是在哪裡被目擊
• Who (誰)：攻擊者是誰，被打的人是誰
• What (什麼): 攻擊特徵，例如注入攻擊、釣魚、XSS
• Why (為啥): 攻擊目的，為什麼要打人家呢？可能是金錢糾紛、或政治利益、或心情不好，之前學長寫的醫療系統被攻擊，整個資料庫被 Drop，本來想說付贖金來取回資料，結果對方連信箱都留錯...，想給錢也給不到
• How (如何): TTPs (Tactics, techniques, procedures)

情資應用面向：

• Strategic(戰略): 給老闆或資安長參考用的資料
• Operational(行動): 資安高階主管掌握的資料
• Tactical(戰術):技術人員要知道的，能夠快速處理資安威脅
• Technical(技術)：就是 IoC (威脅指標)

之前資安大會上我記得一家廠商有提到整個資安在公司的分層，
我找到那篇新聞，
裏面有一張圖片就列出整個資安框架可以分成
https://www.ithome.com.tw/news/139567

• 資安長
• 資安官
• 資安主管
• 第一線技術人員

實際應用

我隨機從上一篇架上好的 OpenCTI 挑一筆事件

標題

APT42: CROOKED CHARMS, CONS AND COMPROMISES

內文

Active since at least 2015, APT42 is characterized by highly targeted spear phishing and surveillance operations against individuals and organizations of strategic interest to Iran. The group’s operations, which are designed to build trust and rapport with their victims, have included accessing the personal and corporate email accounts of government officials, former Iranian policymakers or political figures, members of the Iranian diaspora and opposition groups, journalists, and academics who are involved in research on Iran. After gaining access, the group has deployed mobile malware capable of tracking victim locations, recording phone conversations, accessing videos and images, and extracting entire SMS inboxes.

資料來源：從 AlienVault 導入 openCTI

https://otx.alienvault.com/pulse/6318d926f7c25668ebeba114

分析

根據 5w1h

• Who: APT42(攻擊者)、政府官員（受害者)
• When: 2015 年
• What: 做了釣魚跟監視行為
• How:T1003 - OS Credential Dumping, T1012 - Query Registry, T1016 - System Network Configuration Discovery, T1021 - Remote Services,etc..
• Where: 伊朗
• Why: 看不出來...但有一段這樣的描述， the group’s operations, which are designed to build trust and rapport with their victims，這就得多方確認了

小結

明天也分析另外一個事件，應該會偏向 IoC 追蹤。