如何將Pastebin上的信息應用於安全分析和威脅情報領域

FreeBuf百科

Pastebin是一個便簽類站點，用戶可以在該平台任意儲存純文本，例如代碼，文字等內容。Pastebin支持的編程語言種類也非常齊全，還會自動判斷語言類型並高亮顯示代碼內容。除了直接在網頁內操作外，Pastebin 最大的特色是提供了許多相關工具和應用，包括 Windows、Mac、UNIX、Firefox、Chrome、Opera、iPhone/iPad、Android、WinPhone 以及 WebOS 等等，讓使用者隨時隨地都能夠存取使用。

但從安全分析和威脅情報的角度來看，Pastebin卻是一個信息收集的寶庫。特別是那些上傳到pastebin卻未明確設置為private（需要一個賬戶）的內容，將會被所有人公開查閱。

tl;dr

使用Yara規則從pastebin中查找和保存有趣的數據：https://github.com/kevthehermit/PasteHunter

很多黑客團隊都喜歡把自己的攻擊成果(比如資料庫、代碼)貼在網站上來炫耀，包括一些開發人員/網路工程師意外的將內部配置和憑據泄露。

那麼作為安全分析人員，我們又該如何篩選這些數據為我們所用呢？

我們可以檢索pastebin上所有被上傳的數據，並篩選出我們感興趣的數據。這裡我要向大家推薦使用一款叫做dumpmon的推特機器人，它監控著眾多「貼碼網站」的賬戶轉儲、配置文件和其他信息。值得一提的是， Pastebin雖未禁止我們爬取它的數據，但在IP方面卻有一定限制，一旦觸發IP鎖將會被臨時甚至永久封禁。

幸運的是，Pastebin為我們提供了一個專門為這種任務所設計的API。目前只需支付19.95美元，即可永久免費使用該功能。

有了專業版的賬號，我們就可以從一個白名單列表以每秒鐘調用一次API的頻率來檢索數據了。實際上，你並不需要以如此高的頻率進行查詢。

現在我們可以訪問所有的數據了，那麼該如何處理這些數據呢？我們可以使用PasteHunter。

這是一個簡單的腳本和一組Yara規則，將從pastebin API獲取粘貼，並將任何匹配的粘貼存儲到具有漂亮的Kibana前端的elastic搜索引擎中。

如果你對Yara不是特別了解，這裡我簡單的為大家介紹一下。Yara是一種模式匹配引擎，主要用於掃描文件和分類惡意軟體家族。有了它我們就可以簡單的構建一些較為複雜的匹配規則。

安裝比較簡單。如果你希望通過Web UI搜索內容，請安裝elastic搜索和Kibana。

我們還需要python3，Yara並將Yara和python綁定。

安裝完了所有的依賴關係後，我們從代碼庫克隆代碼並設置一個cronjob來定期運行腳本。更詳細示例及說明請參閱Github文件。

代碼中已經有一些為我們設定好的採集規則，可以用於掃描一些常見的數據，例如密碼轉儲，泄露憑據被黑客入侵的網站等。此外，你也可以通過創建一個這樣的custom_keywords.yar文件來輕鬆添加自己的關鍵字。

通過自定義的規則你可以查找域名、郵件地址、文檔名等意外泄露或者被他人竊取的信息。

有關創建yara規則的更多詳細信息，你可以參考其官方文檔。

隨著腳本的啟動和運行，你應該可以看到數據不斷的被開始採集。

以下是一些被捕獲數據的示例。

需要提醒的是這些規則可能會出現誤報，對於數據的可信程度我們也不能一概而論。

最後，我要感謝@tu5k4rr，是他的pastabean工具給了我本文的思路！

*參考來源：techanarchy，FB小編 secist 編譯，轉載請註明來自FreeBuf.COM

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！