痛苦金字塔描述了妥協指標與惡意行為者在妥協指標被安全團隊封鎖時所經歷的困難程度之間的關係。
IoC 類型 | 定義 | 舉例 | 阻礙難度 |
---|---|---|---|
Hash values | 已知惡意文件對應的雜湊值。 | 特定惡意軟件樣本的SHA256雜湊值 | 簡單 |
IP addresses | 惡意活動涉及的網路協議地址。 | 192.168.1.1 |
簡單 |
Domain names | 網址或網站名。 | www.google.com / 使用者代理(User-Agent)字串 |
簡單 |
Network artifacts | 攻擊者在網路上留下的痕跡。 | 協議http詳細信息如User-Agent 字串。 |
中等 |
Host Artifacts | 攻擊者在主機上留下的痕跡。 | 惡意軟件創建的檔案名稱。 | 中等 |
Tools | 攻擊者用來實現目的的軟件。 | 如違法破解密碼工具John the Ripper 。 |
困難 |
Tactics, techniques, and procedures (TTPs):策略, 技巧與手法 | 描述攻擊者的行為,含高級別行為(策略 Tactics)、具體實現方式(技術 Techniques)與詳細操作(手法 Procedure)。 | 例:攻擊者的行為模式與滲透策略。 | 最困難 |
使用調查工具分析威脅指標
部分 | 定義/功能 | 工具與應用範例 |
---|---|---|
Adding context to investigations | 在調查中加入背景及相關聯 IoC 資訊,提升整體視角,做出更全面的反應。 | 威脅情報 (Threat Intelligence) |
crowdsourcing優勢 | threat intelligence /借助全球安全社群的力量分享分析資料,共同應對潛在威脅。 | Sharing and Analysis Centers / ISACs, OSINT/ Open-source intelligence |
VirusTotal | 用於分析檔案、URL 和 IP 地址,提供社群檢測評估及 IoC 詳細關聯資訊。 | Detection, Details, Relations, Behavior, Community |
其他工具 | 針對特定應用的免費工具,用於檢測惡意程式、分析 URL 等。 | Jotti's malware scan、Urlscan.io、MalwareBazaar |
工具名稱 | 功能 | 優點 | 限制 |
---|---|---|---|
VirusTotal | 分析檔案、IP 地址和 URL | - 提供多家供應商檢測結果- 支援靜態與行為分析- 社群互動與評論- 提供關聯 IoC 資訊 | - 上傳的資料會公開共享- 僅限非商業用途 |
Jotti's malware scan | 掃描可疑檔案 | - 使用多家防毒軟體掃描檔案- 簡單易用 | - 僅限掃描檔案- 有提交數量限制 |
Urlscan.io | 分析和掃描 URL | - 提供詳細的 URL 報告- 可視化 URL 的行為與內容 | - 僅支援 URL 分析- 可能無法分析加密或複雜的 URL |
MalwareBazaar | 儲存和分享惡意程式樣本 | - 提供惡意程式樣本- 支援威脅情報研究 | - 僅提供惡意程式樣本- 需要具備惡意程式分析的專業知識 |
用戶可以透過不同的標籤來查看關於可疑文件或URL的信息
標題 | 定義 | 例子/功能優缺點/比較 |
---|---|---|
檢測 Detection | 第三方供應商對IoC的檢測結果。 | 提供全面檢測判定Detection Verdicts。 |
詳細信息 Details | 包含哈希值、文件類型、大小、headers、創建時間等信息。 | 提供擷取的額外資訊。 |
關係 Relations | 提供相關IoC的信息,如已聯繫的URL、域名、IP地址及丟棄的文件,從而追蹤其外部影響範圍和潛在威脅。 | 展示外部影響。 |
行為Behavior | 分析策略技巧、網絡通信、註冊表和檔案系統行為、進程等行為。 | 深入的行為分析,适用于威脅追蹤。 |
社群 Community | 病毒及安全社群的交流論壇。 | 例如安全專家或研究人員。他們可以在“社群”標籤中分享對IoC的見解和評論。 |
供應商比率及社群分數Vendors’ ratio and community score | 供應商檢測數據及社群的參與度。 | 提供威胁的指標。 |
注意事項 | 警告用戶信息安全。 | 减少个人信息泄漏风险。 |