오픈 소스 프로젝트에 기여하여 Threat Intel을 배운 방법

저는 3년 전 IT 보안에 대한 코딩을 하기 위해 개발자가 되었습니다. 어디로 가야 할지 잘 몰랐지만(정말로 누구인가?) 기술적인 측면에서 그 분야에 접근하고 싶다는 것을 알고 있었습니다.

최근에는 별이 일치하고 직장에서 또는 개인 프로젝트에서 그 분야에서 성장할 수 있는 훨씬 더 많은 기회가 있습니다.

개인 프로젝트 중 하나에 대해 이야기해 봅시다!

나쁜 코드 찾기

(Cyber) Threat Intelligence is in two words information about threats. For example, which group is using which virus, which domains or IPs addresses are interesting to study or how to you study a specific target ( ).

모든 조사의 주요 목표는 대상에 대한 최대 데이터를 수집할 수 있는 것이며 문자 그대로 일반 또는 전문 정보를 제공하는 수천 개의 웹사이트와 서비스가 온라인에 있습니다.

예를 들어, Virus Total은 멀웨어 샘플 또는 멀웨어에서 발견된 도메인에 대한 정보를 제공하는 웹사이트입니다. 그것은 많은 안티 바이러스를 통해 실행되고 결과를 제공하는 사용자 제출 샘플 덕분에 실행됩니다. how to hunt malwares의 VirusTotal에서 이 가이드를 확인하십시오.

A malware is a mal icious soft ware, it can be a virus, a trojan, or
anything. As there are many different viruses, the term malware is preferred.

UrlHaus , AlienVault 또는 GreyNoise 과 같이 다양한 정보를 제공하는 서비스가 수백 개 더 있습니다. 이러한 각 서비스는 특정 요구 사항을 충족하거나 다른 방식으로 데이터를 묶습니다.

글쎄, 당신은 이미 문제를 볼 수 있습니다. 모든 웹 사이트를 실행하는 것은 번거롭고 느립니다. 그래서 제 친구가 당신을 위한 오픈 소스 프로그램을 작성했습니다: harpoon .

조사를 하면서 가장 큰 문제는 어디를 봐야 하는지 아는 것입니다. 그래서 couple of plugins을 쓰기 위해 이 프로젝트에 뛰어든 것은 그 웹사이트와 그 사용에 대해 더 많이 알 수 있는 좋은 기회였습니다.

Github에 문서화된 문제를 보고 하나를 가져와 작업을 시작했습니다. 뭔가 좋아 보이기 시작하면 풀 리퀘스트를 제출했습니다. 오픈 소스 프로젝트에 기여한 것이 처음은 아니지만 첫 번째 pull 요청은 항상 약간의 스트레스를 준다는 것을 인정해야 합니다!

조사로 돌아가서 검색 결과가 도메인이나 IP를 조사하는 방법에 도움이 되었습니다. whois 레코드 또는 passive DNS 과 같은 일부 사항을 알고 있었지만 다른 일부는 더 모호했습니다.

더욱이 문제는 실제로 얼마나 많은 데이터를 얻을 수 있느냐가 아니라 데이터가 얼마나 관련성이 있느냐는 것입니다. 오래된 데이터나 낮은 품질의 데이터는 아무리 많은 양의 데이터라도 짚볼에서 바늘을 빼낼 수 있어야 하기 때문에 아무 소용이 없습니다.

흥미롭게도 시작 질문은 항상 동일합니다. 무엇을, 언제, 누구에 의해. 웹사이트, 파일 서버, 애플리케이션, 데이터베이스 등 어떤 종류의 도메인입니까? 언제 등록했는데 최근에 사이트 내용이 바뀌었나요? 도메인이나 IP를 등록한 기관은 회사ASN의 일부인가요?

그런 다음 주요 질문은 표적이 이미 탐지되었으며 위협 인텔리전스가 작동할 때입니다. 이 시점에서 당신은 이미 다른 회사에서 연구하거나 발견 한 것을보고 있는지 알고 싶습니다.

그래서 그것을 찾으려면 Harpoon을 사용하면 다음만 실행할 수 있습니다.

harpoon intel domain bad.website.com

또는:

harpoon intel ip 123.123.123.123

그런 다음 웹 사이트 조사를 시작하거나 특정 쿼리를 실행할 수 있습니다. Virus Total에서 도메인에 대한 쿼리의 예:

harpoon vt domain bad.website.com

이렇게 하면 작업의 일부가 자동화되고 귀중한 시간이 절약됩니다!

이것은 새로운 데이터와 새로운 액터를 보는 것이 엄청나게 어렵고 아직 그 수준이 아니기 때문에 거의 대부분의 경우를 다루어야 합니다!

닫는 몇 가지 생각

조사가 코드에서 버그를 찾는 것과 약간 비슷하다는 점이 흥미롭습니다(내가 너무 많이 알고 있는 것입니다!). 코딩이 아니라 실제로 문제를 검색하고 StackOverFlow에서 답변을 찾는 것은 경험의 문제입니다!

인터넷에서 시끄러운 데이터를 걸러낼 수 있는 것은 인터넷에서 모든 사람에게 필수적인 기술인 것 같습니다!

이 게시물을 즐겼습니까? 당신의 생각을 듣고 싶습니다! 나는 꽤 초보자임을 명심하십시오.

Reference

이 문제에 관하여(오픈 소스 프로젝트에 기여하여 Threat Intel을 배운 방법), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다 https://dev.to/evilcel3ri/how-i-learned-threat-intel-by-contributing-to-an-open-source-project-25pm

텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.

우수한 개발자 콘텐츠 발견에 전념 (Collection and Share based on the CC Protocol.)

좋은 웹페이지 즐겨찾기

개발자 우수 사이트 수집

개발자가 알아야 할 필수 사이트 100선 추천 우리는 당신을 위해 100개의 자주 사용하는 개발자 학습 사이트를 정리했습니다