威脅情報有哪些生產方法

威脅情報生產方法有：

• 開源情報法：網絡上有不少安全公司或者威脅情報從業人員會不定期公開一些情報，這些統稱為開源情報（業內常稱為OSINT），其中包括互聯網上惡意的掃描攻擊IP，遠控域名/IP（業內常稱為C2），惡意的樣本，惡意家族威脅事件，新的公開漏洞，比如cve、cnvd，互聯網上的tor節點，這些都是可以通過訂閱或者爬取獲得。當然，獲得的這些開源情報，不能直接用于生產環境，必須結合自身的情報生產流程，做進一步的校驗，確定其目前仍然是惡意，并且豐富其上下文信息，才可以用于生產環境。

• 殺毒引擎法：具備殺毒引擎產品或能力的企業，可以從文件的靜態惡意特征，或者端上惡意的行為，去判斷一個文件是不是惡意的，從而獲得惡意的文件HASH情報。常見的惡意文件情報，其實也分為pc端和服務器端的，環境不同，能獲取到的文件種類和數量其實也不同。個人pc端，大部分是用戶從網頁上下載的惡意文件，如一些盜版或破解軟件，這些很可能被植入了病毒，還有不少通過電子郵件或社交軟件發送的釣魚病毒軟件。而服務器端捕獲的文件，更多是黑客在云上自動化掃描攻擊后植入的挖礦病毒、勒索病毒和遠控木馬等惡意文件。

• 動態沙箱法：其實沙箱也是許多殺毒引擎的模塊之一，主要是通過提供一個相對隔離的環境去運行樣本，從而獲取該樣本運行過程中的行為，從而去判斷其是否惡意。這里之所以要單獨拎出來講，是因為有許多公司并沒有生產并對外售賣殺毒引擎，因此沒有樣本優勢用于生產威脅情報，但是他們可以通過自研并開放沙箱，從而獲取用戶自行提交的樣本，也可以通過付費計劃去向virustotal這類公司購買大量的樣本，進而去生產威脅情報。

• 網絡流量法：不少公司可以通過流量安全產品，發現網絡流量中惡意的攻擊，非法的外連，如防火墻，WAF等安全產品，可以通過安全告警去生產相應的惡意入站情報和惡意遠控C2情報，WAF還可以生產BOT IP，惡意郵箱賬號，手機號等業務安全相關的情報，通過這種方式還可以保留威脅事件發生時的上下文信息，比如該惡意攻擊IP是使用什么漏洞進行攻擊，該遠控C2是通過什么后門協議進行通信，這些都能為情報的判研和運營提供更多的上下文依據支撐。甚至可以通過樣本分析，挖掘出惡意家族在C2通信時的特征，進而在流量安全產品下發策略，持續地捕獲該惡意家族的C2情報。

• 蜜罐法：蜜罐常被用于模擬脆弱的機器環境，并暴露高危的端口和服務，從而引誘攻擊。我們可以在云上部署大量的蜜罐，去捕獲云上的自動化掃描攻擊，或者新型漏洞的在野利用，也可以捕獲大量的僵尸網絡和蠕蟲病毒。因此通過蜜罐，我們可以收集到云上的惡意數據，并且進入到自己的威脅情報生產流程中，進一步判研。當然，如果你是云廠商，大可不必通過這種方式，因為云上的機器，就是最真實的“蜜罐”，每天都會有大量的機器被惡意攻擊和入侵，通過旁路流量安全設備，結合端上安全引擎，即可捕獲所需的惡意情報數據。

• 主動掃描法：主動掃描法常用來發現互聯網上的遠控C2，核心思想是通過對一些遠控框架的分析，比如CobaltStrike遠控服務器，以及github上大量的開源遠控框架，發現其暴露的特定訪問路徑，或者對特定協議的響應，通過主動掃描的方法，去獲取相關的C2情報。

回答所涉及的環境：聯想天逸510S、Windows 10。