社区合作的威胁情报到底有没有用？

工作来源

USENIX Security 2022

工作背景

此前威胁情报的工作都证明了单一数据来源存在覆盖率低的问题，通常的解决方案是扩大数据共享。但通常都是企业加入网络威胁联盟、反钓鱼工作组等专业组织，通常也会设置互利互惠条件，避免“搭便车”的行为。

在世界卫生组织宣布疫情大流行一周后，Sophos 安全专家 Joshua Saxe 创建了COVID-19 网络威胁联盟（CTC）专门共享与疫情有关的网络威胁。涉及的威胁有四类：域名、URL、IP、Hash，但后二者一直没有数据，只能侧重分析域名。

COVID-19 网络威胁联盟（CTC）是一个松散的情报共享社区，任何人都可以共享数据。在三个月内就有超过 4000 名个人/组织加入，其中也包括微软、赛门铁克、Confense以及一些要求匿名的公司。

社区创建后成员快速增加。根据用户信息，一半来自北美、三分之一来自欧洲、3%来自澳大利亚，其余是世界各地的人员。

截至 2020 年 7 月，AlienVault OTX 的 CTC 组接受了 738 名用户加入，只有 47 名用户提供了 IOC，而且 10 名用户的提交量达到 90%。只有两名用户在持续更新 IOC 指标，其他人则是零星提交的。

社区有 4000+ 成员，但只有 1-2% 的成员提交指标，且极少数用户占了绝大多数的提交量。这和 PhishTank 类似，社区的前十产生了近七成的提交量。

工作准备

CTC 的黑名单有四个来源：① Alienvault OTX ② Slackbot ③ 署名厂商 ④ 匿名厂商。

安全厂商在 AlienVault 之外每天贡献了上亿的威胁指标：

为了自动化验证，接入了 VirusTotal 的接口，如果有 10+ 个厂商标记则自动进入黑名单，如果有 4-10 个厂商标记则进行人工审核，如果低于 4 个厂商标记认为不是恶意的。早期研究认为情报源之间的重合度非常低，这样导致了只有 5.14% 的域名能够进入黑名单。

后期，社区提供众包机制来扩大人工验证，但此时社区的用户数量相比最初已经大幅下降。

工作评估

手工验证250个域名发现，只有 5 个域名与 COVID-19 有关，21 个域名是其他类型的恶意域名，3 个域名是合法的。因此，其中存在 1% 的误报，71% 的域名都不可用。一周后，与疫情有关的域名上升到 4%，其他类型的恶意域名则有所下降。

而 DomainTools 发布的域名列表中尽管有 6% 的域名与疫情有关，但误报率达到了 13%。

一直稳步增长，到 2020 年 7 月 1 日共记录了 27096 个二级域名的 46832 个 FQDN。

用 15 种语言生成了 370 个与疫情有关的词汇。相关域名的注册量非常大，每天数千个，但进入黑名单的并不多。

根据 Google Safe Browsing 和 VirusTotal 的数据，也是以钓鱼为主。这可能是由于自动审核机制在判定上，更容易让传统形式滥用进入黑名单。

VirusTotal 中的检出情况如下所示，最多被 27/84 个厂商检出。这也就意味着，设定的 10 个厂商的阈值已经达到一半厂商判定恶意的情况。

当然，被越多的厂商标记，就容易被 Google Safe Brower 标记为恶意：

前十的厂商中，大多数引擎检测率保持稳定，AegisLab WebGuard 的猛然增加可能是接受了 CTC 的黑名单所导致的，而 Avira 和 ESET 的检出率是在降低的。

一旦域名在黑名单中出现，后来就很少会有引擎将其标记为恶意了。

这就存在了一个矛盾，如果不使用 VirusTotal 进行筛选，就不能保证低误报。可如果使用 VirusTotal 进行自动审核，就不能对已有手段形成补充。

使用 Farsight Security 的 PassiveDNS 数据查看 CTC 遗漏了那些与疫情有关的恶意域名。通过相关的关键词发现 3011717 个与疫情有关的域名，其中有 188305 个域名被至少一个引擎标记。值得注意的是，162406 个由 Fortinet 标记。5767 个域名被 4-10 个引擎标记，只有 610 个域名被超过 10 个引擎标记。

其中有 75 个与疫情有关的域名，符合条件缺没有进入黑名单被漏报。

在注册机构通过EPP设置 CLIENTHOLD 和 SERVERHOLD 视为该域名被干预了，大约 30% 的域名被干预控制。

通常来说，干预比 CTC 黑名单更快：

公共 DNS 解析服务 Quad9 在 5 月初接入了 CTC 黑名单，检出率快速上升。

工作思考

用户贡献的指标中只有 1.23% 能进入黑名单，当然有设计接纳机制的问题（依赖 VirusTotal 的指标审查导致只有 5.14% 的用户提供的情报进入黑名单中），但是用户提供数据的质量可能也十分堪忧。这可能和一个开放社区的运营类似，国内多个社区都存在类似的问题，在用户量较小的时候能够保证内容的质量，后续就会出现各种各样的问题。质量是一个大问题，数量的极度倾斜（10 个用户贡献了 90% 的情报）问题也很大。这样导致社区最后无法维系下去，也就起不到什么作用。

从数据看略有提升，但是实际上看：集合社区的数据，几乎不能够提高对威胁的覆盖率；与已有手段相比，几乎不能够提高对威胁的应对能力。毕竟，黑名单中 58.4% 的域名，现有缓解措施行动是更快的。

声明：本文来自威胁棱镜，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。