作者:果勝
本文為作者投稿,Seebug Paper 期待你的分享,凡經采用即有禮品相送!
投稿郵箱:paper@seebug.org
在SOC的實踐中,對安全事件的跟蹤以及威脅溯源是安全預警和防御的重要步驟。目前安全社區和白帽黑客建立了多種事件情報的分享渠道,其中社交媒體是非常重要的組成部分,有很多組織和個人通過各類社交APP發布惡意軟件,安全事件,漏洞和利用工具的相關信息。故而目前許多安全人員都開始通過SOCMINT(社交媒體情報)來輔助威脅跟蹤和預警工作。由于國內外的法律和文化不同,目前國內的微博更重于輿情、安全事件的發布,而推特更重于漏洞,惡意軟件等技術信息的發布,在威脅跟蹤時可以根據自身的具體需求選取,這里介紹一些twitter中進行威脅情報采集的方法。
twitter搜索語法
同google,github等平臺的搜索功能類似,twitter也提供了搜索語法來進行高精度的搜索,這里是一些標準搜索語法:
- 搜索包含同時多個關鍵字的推文
keyword1 keyword2
- 精確搜索包含某一關鍵字的推文
"keyword"
- 并列搜索(包含一個或多個關鍵字)
keyword1 OR keyword2
- 搜索不包含某一關鍵字的推文
keyword1 -keyword2 (不包含keyword2)
- 搜索某一hashtag的推文
keyword
- 搜索提到某一用戶的推文
@keyword
- 搜索某一用戶發布的推文
from:keyword
- 搜索發給某一用戶的推文
to:keyword
- 使用指定過濾器進行搜索
keyword filter:{過濾器名稱} (過濾器允許用戶指定推文中是否包含視頻/圖片/鏈接等)
- 搜索包含關鍵字url的推文
keyword1 url:keyword2
- 搜索某一時刻之后發布的推文
keyword until:2020-01-01
- 搜索某一時刻之前發布的推文
keyword until:2020-01-01
- 搜索包含提問的推文
keyword ?
- 搜索積極/消極的推文
keyword :) keyword :(
在推特的企業級API和高級API中,還具備更多的搜索特性,例如可以基于地理位置和目標特性進行搜索,或將多個運算符連接為表達式進行復雜的搜索,具體可參見開發者中心的文檔。
威脅情報搜索
在推特上目前已經形成了一些安全情報分享的特定賬戶和頻道,結合推特搜索功能的語法,可以有效的匯總相關的信息,這里做一些介紹:
hashtag
電子取證
- DFIR
- digitalforensics
信息安全事件
- InfoSec
- CyberSec
- cybersecurity
- Security
- infosec
- Cybersecurity
- NetworkSecurity
- CyberIncident
- NetworkSec
- Infosec
- CISO
- CyberSafety
- Cyberattacks
安全運營
- SOC
- SecOps
惡意軟件
- malware
- ransomware
- MalwarePanelUpdate
- LokiBot
- DanaBot
- Quasar
- NanoCore
- njRAT
- Emotet
- Cerber
- AZORult
- DarkComet
- Gh0st
數據泄漏
- opendir
- Login
- Credentials
- breach
- databreach
- Hacked
- PIIData
漏洞和補丁信息
- patches
- Exploit
- vulnerability
- 0day
- zeroday
- vulnerabilities
- CVE
暗網
- DarkWeb
- DEEPWEB
威脅情報
- IOC
- phishing
- Blueteam
- Honeypot
- DDoS
- threatintel
- threathunting
- threatdetection
- ThreatIntelligence
- botnet
- OSINT
推特支持多個hashtag的組合搜索,通過組合搜索可以用于處理一些hashtag的歧義(如#IOC)以進行對特定話題推文的定位。
基于關鍵字搜索推文
目前可以通過對已有的威脅情報文本資料建立詞云來抽取搜索威脅情報所需的關鍵詞。詞云是通過對網絡文本中出現頻率較高的關鍵詞進行統計產生的集合,python中的wordcloud庫可以快速的完成詞云的生成。
import wordcloud
txt = "文本信息"
w = wordcloud.WordCloud()
w.generate(txt)
w.to_file("wordcloud.png")下圖為一個簡單的漏洞情報詞云樣例
此外,許多安全組織和會議也會對自身的資料生成詞云并發布,可進行收集并作為關鍵詞語料,如下:
通過對特定領域的漏洞文檔和信息安全媒體報道進行詞云提取,可以獲取用于威脅情報收集所需的關鍵字,結合推特搜索語法進行組合搜索,即可通過推特采集各類威脅情報。
基于過濾器提取推文
受限與推特本身的文本長度限制,在推特上發布的信息中非常重要的部分為推文中包含的圖片,視頻,第三方鏈接等,對于包含此類信息的推文,可以通過搜索語法中的filter關鍵字實現精確搜索,如下:
-
keyword filter:media 包含媒體報導的推文
-
keyword filter:native_video 包含視頻的推文
-
keyword filter:images 包含圖片的推文
-
keyword filter:links 包含第三方鏈接的推文
對于一些與常見的威脅情報平臺和網站相關的推文,可以基于url關鍵字進行精確搜索,如圖:
獲取了推文的內容后,即可利用iocextract等工具直接從推文中提取相應的IOC數據。
推特賬戶社交關系挖掘
推特也具有社交媒體的一般特征,即存在特定的用戶群組聯系,其中包含了關注,轉發,點贊等常見操作。目前在github上存在許多twitter信息收集工具,例如tinfoleak等。此類工具通常通過web爬蟲收集twitter數據,這種方法的優點在于不受api查詢次數的限制,可以搜集大范圍的用戶群組數據,缺陷在于無法利用api的高級搜索能力精確定位特定的用戶,在使用中可以根據自身實際需要適合的采集方式。利用networkX等庫,可以對特定賬戶的社交關系進行網絡建模和可視化處理,下圖為對某個白帽黑客的推特關系網進行處理的結果:
在威脅情報的采集過程中,可以對特定目標遞歸的進行關系網的建立工作,從而建立一個重點關注的賬戶列表以高效的獲取威脅情報,此外該方法也可以用于調查發送C&C指令的推特賬戶(不過由于國內的法律法規,此種用法較少)。
總結
本文簡要敘述了目前應用在威脅情報收集中一些運用推特的方法和技術,其中的一些思路也可以應用在微博等類似的平臺上,以提升安全人員在網絡對抗中的情報能力。
本文由 Seebug Paper 發布,如需轉載請注明來源。本文地址:http://www.bjnorthway.com/1231/
暫無評論