- 可直接确定威胁的
- 样本中硬编码的 ip 和 域名
- 已知的文件hash
- 需要其他条件辅助的
- 文件相似度 ssdeep|tlsh
- 文件特征
- 样本中硬编码ip/域名 关联到的域名/ip
- ttp
- uri
- 文件名特征
- ua特征
- 可用于确定家族
- 硬编码域名, uri
- 不能确认
- 漏洞, 工具访问的域名
- 仅有
域名威胁情报告警, 且无dns响应 - 有
域名威胁情报告警, 有挖矿流量告警, 可能有恶意脚本下载告警, 可能有http恶意家族指纹告警
-
知名家族
驱动人生等, 威胁情报基本完整覆盖 -
冷门家族, 木马类型, 威胁情报基本没有覆盖, 例如
WannaMine相关规则
- 生成一种恶意家族相关的安全事件, 关联相关的各种流量日志, 以
- 防止出现访问一下域名就被报已失陷的问题
- 让病毒研判更准确
- 有针对性的处置建议(甚至专杀脚本?)
- 重新覆盖热门家族
- 防止情报, 指纹类事件报大量告警(做综合判断)