简述
如何挖掘高隐蔽性攻击的异常线索?笔者一直很认可一个思路,而且也做了实际践行,不过成本相对比较高。
该思路就是把目标系统所有的通联IP 、URL、域名、文件、电子邮件、SSL证书都相关通联要素都梳理出来,“先白后黑”的思路进行确认,分析人员确定为白,才能放过,一步步筛选出恶意的线索,线索可能是一个IP,也可能是一个文件或者一个URL。如何确定“黑白灰”,“沙箱”在这里起到很重要的作用,通过沙箱去发现一些靠“特征匹配”无法发现的深层次异常行为。文件分析沙箱、邮件分析沙箱、URL分析沙箱、域名分析沙箱(行为分析)都是垂直的细分能力。
找到异常线索,再拓线、关联、挖掘、研判,这是个很耗费精力和能力的过程,本文在此不做详述。
下文对守望者实验室推出的在线恶意URL分析系统的能力进行说明。
URL静态分析
动态分析主要通过url动态检测技术,动态获取页面代码、页面内容,基于图像对比技术、源代码相似度对比技术,识别隐藏性比较深或者一次性的恶意链接,有效发现钓鱼链接、黑灰产链接、仿冒链接、挂马链接等。
威胁情报碰撞
系统会自动筛查出页面加载的http链接以及超链接的域名、IP、URL,并结合威胁情报平台(https://ti.watcherlab.com/)数据,进行快速碰撞,发现威胁。
页面异常链接筛查
筛查页面加载及内嵌的所有链接,发现隐藏的外链、暗链、错链、重链,定位并详细列表、数量和位置。
暗链:也称黑链,即隐蔽链接,是黑帽SEO的作弊手法之一,其目的就是利用高权重网站外链来提升自身站点排名。暗链是由攻击者入侵网站后植入的,暗链指向的网站绝大多数是博彩、非法游戏私服、虚假医疗、办证等黑灰色产业。
错链:也称死链。是由于用户的疏忽造成的,并且请求的链接不存在。没有及时处理的话,不仅会影响用户体验,同时也影响搜索引擎蜘蛛的爬行。
外链:又常被称为:“反向链接”或“导入链接”,是指通过其他网站链接到自己网站的链接。
重链:也成重定向链接,就是通过各种方法将各种网络请求重新定个方向转到其它位置(如:网页重定向、网页条状等)。
三种分析策略
考虑到隐私性,系统支持三种策略:公开、不公开、受保护。
-
公开:系统的用户都可以看到分析结果。
-
不公开:分析结果只有您本人可以查看。
-
受保护:分析结果只有在短时间内有效并且只有您本人可以查看,超过有效期即彻底从服务器上删除。
在线系统地址:https://urlscan.watcherlab.com/ 欢迎您注册使用!