近年来，随着加密手段在网络攻击中占比不断攀升，攻防演练场景下的加密技术应用也日趋多样与复杂，加密威胁逐步成为传统安全防护体系面临的重要挑战。在此背景下，构建和提升加密视角下的威胁情报能力，是对抗加密威胁的重要手段，也是更全面地掌握攻击方完整情报信息的重要基础。

传统威胁情报在面对加密流量威胁时，与安全产品的联动更多从IOC着手，对于加密流量的通信特征缺少关注。为解决这一问题，可以围绕加密资产信息、加密要素信息等加密特征，构建加密威胁情报能力，应对加密流量威胁。观成科技研究认为，在攻防演练场景中，对于加密威胁情报能力，可以从四个方面进行建设和提升，分别是风险加密资产识别、限定域指纹构建、同源加密威胁关联和攻击设施主动探测。

01 风险加密资产识别

资产盘点与暴露面收敛是大多数攻防演练活动启动阶段和备战阶段需要重点关注的事项，对加密资产进行盘点及风险收敛同样重要。从加密要素角度出发，可以从三个方面识别风险加密资产：

• 加密协议层面：关注协议版本、加密套件、扩展项，尤其是使用低版本协议、弱加密算法、弱签名算法的资产；
• 数字证书层面：关注证书版本、证书序列号、证书有效期、证书自签名、证书颁发者与使用者、证书扩展性、证书公钥、证书签名、证书链，尤其是过期证书、自签名证书；
• 加密数据层面：关注加密算法，尤其是使用弱加密算法对数据进行加密处理的资产。

02 限定域指纹构造

常见针对加密资产的指纹，如JA3、JA3S和JARM等，可以有效识别目标加密资产，但也同样面临着指纹碰撞的问题，当这些指纹应用于加密威胁情报时，就会产生一定误报。为提升指纹准确性，可以基于加密要素信息，进一步构造更为精确地限定域指纹库。

限定域指纹可以针对客户端和服务端分别展开，主要依据TLS版本、加密套件、扩展信息及其他信息进行计算得到。在一些场景下，可以联合客户端和服务端信息，进一步提升准确性，构建完全限定域指纹应用于威胁检测中。

03

同源加密威胁关联

同类别的网络资产具有一定的相似性，而加密资产同样具有类似的特征，可以基于网络空间资产测绘技术，有效结合攻击方使用的攻击武器、攻击资源中所提取的加密要素信息，针对攻防演练场景下的黑客工具、热门商业木马及恶意家族等进行精细化威胁关联，快速发现同源加密威胁，达到“克敌机先”的效果。

比如，针对HTTPS协议的网络资产，分析师可以从响应头、响应体及证书等多个维度提取相似性特征，通过这些相似性特征，可以进一步关联与挖掘。通过这种方式，可以对已发现的攻击设施进一步延伸和拓展，形成同源加密威胁资产列表，应用于加密威胁感知中。

04

攻击设施主动探测

反向C&C通道是攻防演练场景下的常用通信手段，而C&C的识别与发现是加密威胁情报能力的重要体现。在前期准备阶段，需要跟踪分析黑客工具、热门商业木马及恶意家族，可以基于通信样本的行为特征、通信信息和加密要素信息，提取加密特征，构造上线包、心跳包与指令响应包，进而进行主动探测获取C&C信息，提前掌握攻击设施。

在保障阶段，需要及时应对变种攻击，从变种中发现固定特征或变化特征。对于固定特征，本质属于同类威胁，一部分可以在同源加密威胁关联中发现，另一部分可以主动探测中掌握。对于变化特征，应及时构造探测特征并进行实时探测，获取相关配置C&C信息，实时感知并掌握攻击方攻击设施资源。

文章来源：wal613