2.8　威胁情报

在应急响应中，威胁情报类似一个多维度的知识库，可以对以往相似的恶意元素进行查询。很多时候，结合威胁情报可以从多维度快速地了解攻击者的信息。SANS研究院对威胁情报的定义是，针对安全威胁、威胁者、利用、恶意软件、漏洞和危害指标，所收集的用于评估和应用的数据集。Gartner对威胁情报的定义是，基于证据的知识，包括上下文、机制、指标、隐含和可操作的建议，针对一个现存的或新兴的威胁，可用于做出相应决定的知识。

David J.Bianco在The Pyramid of Pain中对不同类型的威胁情报及其在攻防对抗中的价值进行了非常清晰的描述，包括文件Hash值、IP地址、域名、网络或主机特征、攻击工具和TTPs（Tactics，Techniques and Procedures）。在威胁情报金字塔模型中，Hash值、IP地址、域名层面的威胁情报最常见，成本相对较低；而工具、技术等层面的威胁情报成本相对较高，处于金字塔的顶端，如图2.8.1所示。

图2.8.1　威胁情报金字塔模型

在威胁情报中，经常会出现IOC这个概念。IOC（Indicator of Compromise）通常指在检测或取证中，具有高置信度的威胁对象或特征信息。在应急响应中，威胁情报平台查询到的信息一般都属于IOC范畴，以下介绍部分实例。

例如，对恶意IP地址101.99.84.136进行查询，IP地址的情报标签显示是境外IDC、远控木马、Generic Trojan、Compromised、C&C、Ransomware、Satan、CobaltStrike、勒索软件，展示了各种恶意行为，如图2.8.2所示。

图2.8.2　IP地址的情报标签

除了标记相关的恶意标签，还会展示与IP地址相关的其他信息，包括域名反查、主机信息及数字证书等，如图2.8.3所示。

图2.8.3　其他信息

域名的威胁情报与IP地址的查询结果类似，只是查询的维度不同。查询v.y6h.net恶意域名的威胁情报，如图2.8.4所示。

图2.8.4　恶意域名的威胁情报

Hash查询一般是针对恶意文件的威胁情报查询，其会列出文件的基本特征及相关的恶意行为、网络特征等。查询MD5为dbf6c9317edcd74efd5c4c6ba35658fe文件的威胁情报，如图2.8.5所示。

图2.8.5　恶意文件的威胁情报