Tehdit avcıları göstergeleri bağlamla nasıl zenginleştirir?

   Mart 20, 2025  Posted in CyberSecurityNews


Göstergeleri zenginleştir

Veriler kral olsa da, bağlam onun kraliçesidir – birlikte, araştırma, analiz, keşif ve keşif konusunda gelişen alanlar üzerinde hüküm sürerler.

Bu hiçbir yerde, sadece ham verilerin anlam ve yön vermek için bağlamsız güçsüz olduğu siber tehdit zekasından daha belirgin değildir.

Tehdit istihbarat platformları ve SOC ekipleri, IP adresleri, dosya karmalar ve alan adları gibi siber olaylar ve saldırılar hakkında çok miktarda bilgi toplar.

Ancak bu veriler yalnızca bağlamla zenginleştirildiğinde eyleme geçirilebilir hale gelir.

Bağlam şunları elde eder:

  • Uzlaşma göstergelerinin ilişkilendirilmesi (IOCS) Bilinen tehditler, kampanyalar veya rakiplerle. Belirli bir APT grubuna veya kötü amaçlı yazılım suşuna bağlanırsa şüpheli bir IP adresi daha anlamlı hale gelir.
  • Tehditleri Atfetme Saldırı kalıplarında gözlemlenen taktiklere, tekniklere ve prosedürlere (TTP’ler) dayanarak ekiplerin saldırganların niyetini ve sofistike olduğunu anlamalarına yardımcı olmak için.
  • Gerçek zamanlı alaka düzeyini değerlendirmek Gelişen tehditleri tarihsel saldırı verilerine ve sektöre özgü risklere göre karşılaştırarak.
  • Zekayı zenginleştirmek Açık kaynaklı tehdit yemleri, hükümet danışmanları ve karanlık web izleme gibi dış kaynaklarla.

Tipik siber güvenlik zorluklarının örnekleri üzerinde nasıl çalıştığını izleyelim. Herhangi biriyle tehdit istihbarat araması kullanacağız.

Uzlaşma, saldırı ve davranış göstergelerini keşfetmeye, rakiplerin taktiklerini ve tekniklerini anlamaya yardımcı olan bir arama motorudur.

IP bağlamı zenginleştirme

Bir algılama ve izleme sistemi, bir Şüpheli Güvenlik ekibini uyardığında IP adresiilk dürtüleri IP’den trafiği engellemektir.

Ancak tam olarak ne olduğunu anlamak daha az önemli değildir. Ti Lookup aracılığıyla bir IP adresini keşfedelim:

Bir kötü amaçlı yazılım örneğinde en son ne zaman görüldüğünü içeren bir IP bağlam verisi

Şimdi bu IP hakkında ne biliyoruz?

En önemlisi, bilgisayarı bilgisayar korsanları tarafından tamamen kontrol edilen ve hassas verilere sızan bir zombiye dönüştüren tehlikeli bir kötü amaçlı yazılım olan Asyncrat ile ilişkilidir.

  • Son aylarda analiz edilen kötü amaçlı yazılım örneklerinde tespit edildi, bu nedenle aktif bir kötü amaçlı envanterin bir parçası olarak kabul edilebilir. Önlemler hemen alınmalıdır.
  • Bu numunelerin analitik oturumlarını etkileşimli kum havuzunda görüntüleyebiliriz
  • IP’nin kullanıldığını görüyoruz C2C Comm
  • Unications.
  • Aynı kötü amaçlı yazılım örnek analizlerinde de kötü niyetli olarak etiketlenen bir dizi başka IP var.

IOCS ile ilgili bağlamsal verilerin derinliklerine dalın, 50 test isteği ile Ti Lookup’ı deneyin

Mutex bağlam zenginleştirmesi

Muteksler iyi huylu ve kötü amaçlı yazılımlarda karşılanır. Tek başına bir muteks nadiren kesin bir enfeksiyon belirtisidir. Bir tehdidi doğrulamak için diğer IOC’lerle (örneğin, ağ etkinliği, süreç davranışı, dosya karma) ilişkili olmalıdır.

Muteksler genellikle izleme sistemlerinde yanlış pozitif uyarılar üretir. Kötü amaçlı yazılım örnekleri meşru programlarla aynı nesneleri içerebilir ve birçok Mutex adı jeneriktir.

Bakalım bir zenginleştirirsek ne olur muteks Bir arama isteğinde birleştiren bir bağlam olarak başka bir muteks ile TI araması ile:

(SyncobjectName: ”PackAgEnager” veya SyncobjectName: “DocumentupDater”) ve Syncobjectoperation: ”Oluştur” ve TehditName: “Muddywater”

Her arama sonucuna bir tıklama, Mutex’in kötü niyetli işlemlerde nasıl davrandığını gösterir

Şimdi biliyoruz:

  • Mutekslerin PackAgEnager ve DocumentUpdater gibi masum genel isimlerle birleşimi, İran’dan bir uygun grubun olması gerektiği kadar tehlikeli olan İran’dan Muddywater Apt grubunun kötü amaçlı yazılım kampanyalarında gerçekleşir.
  • Muteksler, Muddywater’ın Bugsleep Backdoor tarafından üretilir.
  • Bu muteksleri kum havuzunda kullanan daha fazla örnek bulabiliriz (arama sonuçlarındaki görevler sekmesine bakın).

URL bağlam zenginleştirmesi

Diyelim ki, şüpheli bir dosyaya bir bağlantı tespit edersiniz. ağ trafiği. Bu bağlantıyı Ti Arama aracılığıyla ararsınız.

URL’nin alanı kötü niyetli ve bilinen bir botnete ait olarak etiketlenmiştir

Basit bir istek, ama şimdi bunu biliyoruz:

  • Etki alanı Phorpiex Botnet altyapısının bir parçasıdır
  • Bir aydan daha kısa bir süre önce analiz edilen bir örnekte tespit edildi, bu nedenle Phorpiex hala aktif ve tehdit edici olabilirken, 2016’dan beri bilinen bir botnet olarak düşünülebilir.
  • Bir dizi diğer kötü amaçlı yazılım suşuyla ilişkili alan ve ağınızda engellenmelidir

Çözüm

Siber tehdit istihbaratında, tek başına veriler, sadece bağlamla yönü olmayan bir hükümdardır, tam gücü tehditleri etkili bir şekilde savunmak, tahmin etmek ve karşı koymak için emretir mi?

Ek verilerle göstergeleri zenginleştirerek, SOC ekipleri etkili algılama, izleme ve yanıt verebilir, kimlik avı kampanyalarını araştırabilir ve proaktif savunmaları geliştirebilir.

Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free



Source link