Тема Threat Intelligence (коротко TI) сейчас достаточно неплохо подогрета, однако, как это часто бывает, под модным термином порой понимают совершенно разные вещи.
Чаще всего под TI понимают какую-нибудь платную или бесплатную новостную рассылку о новых уязвимостях. Качество такой рассылки очень разное. Одни засовывают в неё "брендированные" уязвимости типа MagicTragic или BadLock и CVE (так делают многие вендоры, которые стараются поспевать за модными трендами), другие делятся содержимым закрытых кардерских форумов и свежими таргетированными троянами (так делает, к примеру, Касперский).
Facebook вот пошел по своему пути - они сделали базу "индикаторов угроз" - разнообразных признаков совершения кибератаки. Новость про "базу уязвимостей" от Facebook полтора года назад облетела все интернеты, но в итоге никто так и не удосужился толком написать, что же это такое. Вот, восполняю пробел.
Так как база "закрытая", то получить доступ просто так нельзя. В моем случае всё прошло в два этапа. На первую мою заявку мне ответили просьбой подписать NDA между Accenture и Facebook. Сделать это в большой международной компании - значит пройти семь кругов бюрократического ада, и никто не будет этим заниматься без очень серьезной необходимости. Я объяснил это фейсбуковцу и видно затронул за живое :) Мне дали доступ без NDA.
Основой для базы служит мощный движок graph.facebook.com, который используется мордокнигой так же для
Для получения доступа к базе необходимо вначале создать свое www приложение чтобы получить AppID. В названии приложения должно быть название вашей компании
Для каждого запроса необходим access token, который есть ни что иное как AppID +"|" + секрет со странички вашего приложения. Поэтому повторить мои запросы у вас не получится.
Самый простой запрос к базе выглядит так:
https://graph.facebook.com/threat_exchange_members?access_token=<тут AppID>|<тут секрет>
А ответ так:
Есть, правда, ещё один вариант - ThreatExchange поддерживает приватные группы. Это значит, что всем самым горяченьким ты можешь делится только с избранными участниками тусовки (и с ФБ, само собой :)), и другие такие индикаторы не видят.
Так что же такое индикаторы угрозы? Полный список вставлять сюда я не буду. Если коротко, то всё что угодно, начиная с банального: УРЛы эксплоит паков и IP ботов, заканчивая аддонами к Хрому и ФФ, телефонами мошенников, адресами выходных нод TOR, широтой и долготой (не ходите дети в Африку гулять..), сэмплами малвари, сжатыми ZIPом и закодированных в Base64. В базу так же самим фейсбуком льются какие-то непонятные фиды картинок и роликов ютюба со статусом малварности "неизвестно". Видимо, это какая-то внутренняя кухня ФБ. Может просто линки из приватных сообщений пользователей для проверки антивирусами ;).
В целом, иметь постоянно льющийся фид подозрительных URLов и хэшей малвари бывает полезно, однако до того, как эту помойку можно будет назвать базой Threat Indicator, её нужно прогнать через десяток фильтров и правил.
Ну и ФБ, наверное, мог бы сделать базу открытой, загнав всех "своих" в кулуары приватных групп.
Достаточно большой кусок ThreatExchange выделен под анализ малвари. Можно видеть графы <семейство малвари> - <малварь > - < сэмпл > - <что загружает дальше / чем была загружена сама > ... < количество заражений >, что может быть отдельно полезно любителям проводить вечера с дебаггером.
Комментариев нет:
Отправить комментарий