关于威胁情报挖掘的一些小问题总结以及科普 作者: lattice 时间: 2019-02-03 分类: 网络安全 (国外真的太无聊了。。写写文章取取暖,下面有很多文字而且也是临时有feel想写的。。有点乱大家别介意) ok,说到情报这种东西大家肯定都不陌生 在我们的补天平台以及各大厂商的src平台都非常看重情报问题以及都会出现提交情报的入口 举个例子: ![t0132819974171b7bad.jpg][1] 在补天平台情报提交处的右侧大家肯定都可以看到情报收集的范围liǎo,但是嘞是一个大的情报收集范围,却没有更加细致的深入(不过好多大佬还是挖洞为主。。我等菜鸡挖不到只能去抓情报了) 到这里,可能大家会有个疑问哈,为啥有个别大佬的情报降级能这么高,为啥我找的情报都是一点点积分嘞? 因为我也碰到这种问题,所以某次src的年夜饭私底下问了一下运营到底是为啥,我在这里偷偷的给大家说说 首先,darkweb里卖数据等情报其实src里面其实都有蓝军在风控,包括各种某某娱乐网里面经常出现的薅羊毛那一块的问题,其实薅的量少他们自己是默认的,即使大量薅的也是会对他们的数量进行控制(比如说:rmb积少成多后面就只给他们薅一些用户的各种积分啥的了) 一些令人马飞难受的截图: ![t01e413a6b049da1c8e.jpg][2] ![t01fa718cbc18a7c6c8.jpg][3] 但是为什么个别大佬的情报奖金能这么高?? 大部分真正情报高分的大佬,都是其实自己都在干灰黑产的 举个例子(我就写成一个小故事,可能大家更好理解吧。。): 有一个黑灰产团队的两批坏人(下面统称为坏人1和坏人2)都是在弄同一个集团旗下的黑灰产,只不过坏人1和坏人2弄的业务不一样,可能是因为黑灰产业务淡季??为了赚钱,结果坏人1把坏人2卖灰黑产的坏事当作情报交给了这个集团的src啦,因为他们是同一个团队,所以知晓坏人2他们买卖灰黑产的整个流程,导致坏人1交上去的情报非常高分 结果这件事情被坏人2也知道了(好气哟),就反过来把坏人1他们干的事情也当作情报交到了集团的src 最后就出现了个别情报非常高分的大佬 (嘿嘿。。其实他们干的啥事情,src自己是知道的) 好啦,通过这个故事大家肯定知道liǎo为什么有些提交一个情报都能拿到这么高奖金是为啥了吧? 那我再给大家讲讲那里可以经常抓到情报这个小坏蛋8: 1、各种娱乐网(薅羊毛首当其冲) 2、个人博客(会出现一些破解技术鸭或者一些风险操作的过程的文章) 3、个别科技分享论坛 4、各种黑客论坛(什么破解软件、入侵教程啥的都可以经常看到) 确定了情报经常出现的地方后,我就给大家讲讲本人常挖的情报以及情报的划分和提交情报的格式、套路等 首先!!!! 大家要知道情报分为业务情报和技术情报且套现、恶意言论、恶意广告、大量薅羊毛等都属于情报的范围之内(我经常会关注到这类型并且出现的比较多) 甚至还有就是某某软件的破解版被别人发到了网上也可以算是情报哦! 下面是情报的划分 ![t015f122f31e04b51eb.jpg][4] ![t01883b135966416fae.jpg][5] (!!不是广告!!大家可以参考asrc的情报定级标准,因为我个人觉得这是我看到对情报这类型问题最全面的一个解释:https://security.alibaba.com/announcement/announcement?spm=0.0.0.0.PVOBVM&id=80) ![t0191e71cf1a72081b6.jpg][6] 参考了上面链接,我在提交情报时总结出了一个格式: 1、在哪里发现的这个情报,通过了什么方法发现的以及发现时间 2、这个人是谁,他在做什么对该公司有风险的事情 3、对做有风险的事情的这个人进行深入调查(可以提供QQ/Wechat等信息,但是最好在明网做此类型操作,在darkweb不建议,因为涉及到白帽子个人风险以及可能需要资金) 4、提供有关图片或者页面的截图+网址(在明网社工大佬还可以深入到地址等情报信息。。但是在darkweb强烈不推荐此类型操作!!) 5、导致了什么风险,风险涉及的范围有多广 附加点(本人经历,可以对提升情报奖励有帮助哦): 6、你可以将你提交的情报写的有攻击性一些,比如:某某页面出现的某某字眼或者图片表明了该人目的明确,完全可以导致什么什么风险发生(前提是你有把握自己将提交高危情报并且有大几率通过) 7、修复方案那里一定要认真写哦,就写对这类型风险如何预防就好啦 注意事项: 1、darkweb的情报提供截图以及链接即可,注意安全且不要花钱去购买相关信息 2、不要提供纯文字的情报,因为会当作广告忽略掉(本人经历,泪流成河) ok,到这里大家应该对威胁情报的挖掘以及情报提交等操作有了一个更深入的了解了吧8 最后再偷偷的给大家说个小套路 很多大佬肯定都是以挖洞为主,当然大家可以在挖洞的过程中留意下可能会有他人的入侵痕迹啥的,也可以进行一个溯源,最后当作漏洞+情报一起提交哦,或许你原本可以拿到的奖励就翻倍liǎo鸭 [1]: https://www.latticehub.xyz/usr/uploads/2019/01/212233342.jpg [2]: https://www.latticehub.xyz/usr/uploads/2019/01/4073268508.jpg [3]: https://www.latticehub.xyz/usr/uploads/2019/01/3013542070.jpg [4]: https://www.latticehub.xyz/usr/uploads/2019/01/3611015485.jpg [5]: https://www.latticehub.xyz/usr/uploads/2019/01/2214179139.jpg [6]: https://www.latticehub.xyz/usr/uploads/2019/01/2658457913.jpg 标签: 威胁情报