摘要
威胁情报的应用,始终存在着“漏报”和“误报”的平衡,为了减少可能的误报带来的业务影响,你的威胁情报白名单中是否静静的躺着 www.apple.com、www.qq.com、www.alipay.com 这样的流行互联网业务域名呢?你的机器学习检测模型,依照历史流量,是否会自动对 .qq.com、.alipay.com 这样的流量行为增加白权重呢?
但安全是对抗,白帽子想“判黑”,黑客想“洗白”。我们看到的白,不一定是真的白,可能只是黑客想让我们以为的白。
我们BotnetMon最近的跟踪发现,Specter僵尸网络家族的样本,会使用api.github.com这种域名作为CC域名来通信,通过“可定制化”的DNS服务,将“白域名”引导到黑IP上来实现自己恶意指令通信。
这种“过白”手法,在流量检测的场景下,