XcodeGhost机读威胁情报IOC

2015-09-24 345086人围观 ,发现 9 个不明物体 工具资讯

当前威胁情报已经成为改善日益恶化的安全态势最重要的手段之一,通过快速共享威胁识别、攻击方式以及失陷特征等威胁情报,能够达到对攻击(包括定向攻击及APT攻击)的快速检测和响应,这一切的基础是机读威胁情报。

安全情报厂商监控、分析,获得新出现攻击的相关情报,可以采用一定的业界标准生成机读威胁情报并迅速发布,支持此标准的产品(如:SIEM、FW、IDP、AV等)就可以快速读取其中的内容,并根据其中提供的元素进行检测或关联分析,这样就可以快速发现或阻截此种攻击。实现一处发现,全网获得防御能力的目的。现今国际上通行的机读威胁情报标准有多种,包括:STIX、OpenIOC、IODEF、CIF、OTX等。

XcodeGhost通过一种新的攻击方式,感染了数千种手机APP,至使数千万用户受到影响,国内各大安全企业纷纷投入精力进行追踪、分析。我们对XcodeGhost的作者及其攻击目的进行了深度分析后(参见“疑点披露:XcodeGhost威胁情报分析”),公开发布可机读的IOC威胁情报(基于OpenIOC格式),希望以此推动业界广泛的使用“可机读威胁情报”的方式来检测和防范威胁,促进安全行业内的情报分享。

此次共提供3个.ioc文件,分别是:

1.2015_09_XCodeGhost IDE.ioc:包含Xcode 集成开发环境是否被感染的检测指标;

MD5:20b41669037f66e3b7d8c636088f519f
SHA1:3804c0860a9cd2c779acb4ac952fdef8c36484c0

2.2015_09_XCodeGhost Infected File.ioc:包含手机APP是否被感染的检测指标; 

MD5:5eb9d20f119687913dd182d2a245dc35

SHA1:ae9f50605a4c66f71fb6f2a922bc6949d91c87b6

3.2015_09_XCodeGhost Domain_IP_Actor.ioc:包含此团伙的网络资产、网络身份信息及关联威胁等信息;

MD5:ae57c0d8b80ef9d2cbe8a00736845eb9

SHA1:74f8d9feb5779f05e349961ec0d92b6b0a71e1fc

下载地址

您可以访问ThreatBook网站(http://threatbook.cn/ioc/xcodeghost)来下载这些文件,并能够通过IOCedtior(http://bluecloudws.github.io/ioceditor/ )或Windows客户端(https://www.fireeye.com/content/dam/fireeye-www/services/freeware/sdl-ioc-editor.zip)浏览IOC文件。

*本文作者:Threatbook(微步在线) 是国内首家专注于安全威胁情报的创业公司,欢迎交流@安全威胁情报

相关推荐
发表评论

已有 9 条评论

取消
Loading...
Threatbook

国内首家专注于安全威胁情报的创业公司

29 文章数 4 评论数 0 关注者

特别推荐

推荐关注

活动预告

填写个人信息

姓名
电话
邮箱
公司
行业
职位
css.php