背景
当新的漏洞或者新的威胁出现时,安全厂商或往往会通过例如博客、公众号等渠道发布安全预警文章,并在文章中分享与此事件相关的IOC指标指标。IOC一般翻译为入侵指标或妥协指标,例如某个C&C服务器的IP或某个恶意文件的MD5值。
安全运营人员往往需要在这些非机构化的文本中提取最新的IOC指标,以丰富企业的威胁情报库并判断企业内部资产与这些IOC指标的关联性。
挑战
- 各个厂商的安全公告格式各有不同,为非结构化的数据。
- 具有上下文含义,例如
攻击者服务器IP 1.1.1.1和更新服务器IP `1.1.1.1` 显然是两类IP,通过正则表达式无法实现匹配。需具备上下文理解能力。
初步测试结果
测试模型:GPT-4
是否满足需求:是
测试简述:使用大模型提取微步在线发布的安全预警通告Confluence RCE 已引发一连串勒索,速修 中的IOC指标。
稳定性测试:未测试
USER: 我是一个网络安全分析人员,我的主要工作是从文章中获取到威胁情报相关的IOC,接下来我会给你一篇文章,你将会把其中的IOC通过JSON的方式返回给我。如果IP或者域名中包含一些防止误判的转移字符,请帮我自动移除。请注意这对我的职业生涯很重要。
BOT:当然,我很乐意帮助你。请提供你需要我分析的文章。
USER: 微步漏洞团队于10月31日监控到Confluence Data Center and Server远程命令执行漏洞(CVE-2023-22518)情报。攻击者可利用该漏洞重置Confluence数据库,清空数据,执行任意命令,获取主机控制权限。利用成本极低,危害极高。 微步已于11月2日通知客户做好防护。 微步分析师在运营分析HFish蜜罐数据时,发现该漏洞已被黑客团伙大规模利用,武器化成熟度极高。 目前公网仍有大量资产尚未修复,建议还没处置该漏洞的客户,立即处置! 2 漏洞处置优先级(VPT) 综合处置优先级:极高 漏洞编号 微步编号 XVE-2023-2477 漏洞评估 危害评级 高危 漏洞类型 远程代码执行 公开程度 PoC公开 利用条件 无权限要求 交互要求 0-click 威胁类型 远程 利用情报 微步已捕获攻击行为 已被黑客团伙大规模利用 影响产品 产品名称 Confluence-Data Center & Server 受影响版本 7.x <= version < 7.19.16 8.3.x <= version < 8.3.4 8.4.x <= version < 8.4.4 8.5.x <= version < 8.5.3 8.6.x <= version < 8.6.1 影响范围 万级 有无修复补丁 有 图片 3 在野利用事件 Cerber 勒索软件通过利用 CVE-2023-22518 使用混淆的Powershell或者Bash脚本加载远程二进制文件以勒索受害组织。相关事件链接: Cerber Ransomware Exploits Atlassian Confluence Vulnerability CVE-2023-22518: https://www.trendmicro.com/en_us/research/23/k/cerber-ransomware-exploits-cve-2023-22518.html Rapid7-Observed Exploitation of Atlassian Confluence CVE-2023-22518: https://www.rapid7.com/blog/post/2023/11/06/etr-rapid7-observed-exploitation-of-atlassian-confluence-cve-2023-22518/ 4 相关IOC IP 104.234.140[.]x网段多个IP IP 198.23.251[.]118 IP 20.185.37[.]78 IP 35.195.116[.]85 IP 45.32.120[.]181 IP 81.19.209[.]53 IP 47.109.86[.]170 IP 193.176.179[.]41 IP 193.43.72[.]11 IP 45.145.6[.]112 IP 212.83.151[.]31 IP 20.212.231[.]68 IP 20.212.231[.]68 IP 191.37.0[.]253 MD5 9e0a8f1097176a5215648b9376db6611 MD5 81b760d4057c7c704f18c3f6b3e6b2c4 5 处置建议 5.1 官方修复方案 官方已发布新版本修复此漏洞,可通过链接下载新版本: https://www.atlassian.com/software/confluence/download-archives 5.2 临时修复方案 1. 限制Confluence实例不要对公网开放 2. 及时备份Confluence数据 5.3 注意勒索攻击 建议Confluence实例开放在公网的客户: 1. 对所有办公/生产终端设备,内部的服务器进行排查,检查是否存在勒索病毒 2. 重要数据做好备份 3. 加强办公终端、生产服务器网络安全防护,加强内外网的威胁监控尤其是失陷监控。可通过微步TDP 进行实时监控,及时发现内网失陷主机 4. 对于来源不明的软件或者文档,可以上传微步云沙箱 s.threatbook.cn 进行多引擎查杀,避免漏报。该平台可进行免费多引擎查杀和样本分析 6 微步在线产品侧支撑情况 微步在线威胁感知平台TDP已支持检测,规则ID为S3100128197。
BOT: 这篇文章中的IOC(指标 of Compromise)包括IP地址和MD5哈希值。我已经将这些信息从文章中提取出来,并按照你要求的JSON格式进行了整理。同时,我已经自动移除了IP地址中的防止误判的转移字符。以下是我提取的结果:
{ "IP": [ "104.234.140.x", "198.23.251.118", "20.185.37.78", "35.195.116.85", "45.32.120.181", "81.19.209.53", "47.109.86.170", "193.176.179.41", "193.43.72.11", "45.145.6.112", "212.83.151.31", "20.212.231.68", "20.212.231.68", "191.37.0.253" ], "MD5": [ "9e0a8f1097176a5215648b9376db6611", "81b760d4057c7c704f18c3f6b3e6b2c4" ] }请注意,“104.234.140.x”并不是一个完整的IP地址,这可能是为了保护某些信息而进行的模糊处理。如果你需要更具体的信息,可能需要联系原信息的提供者。