pastebin

pastebin
FB招聘站
分类阅读
专栏
公开课
FIT 2019
企业服务
用户服务
搜索
投稿
登录
注册
如何将Pastebin上的信息应用于安全分析和威胁情报领域 secist2017-09-21共445515人围观，发现 1 个不明物体网络安全
FreeBuf百科
Pastebin是一个便签类站点，用户可以在该平台任意储存纯文本，例如代码，文字等内容。Pastebin支持的编程语言种类也非常齐全，还会自动判断语言类型并高亮显示代码内容。除了直接在网页內操作外，Pastebin 最大的特色是提供了许多相关工具和应用，包括 Windows、Mac、UNIX、Firefox、Chrome、Opera、iPhone/iPad、Android、WinPhone 以及 WebOS 等等，让使用者随时随地都能夠存取使用。

但从安全分析和威胁情报的角度来看，Pastebin却是一个信息收集的宝库。特别是那些上传到pastebin却未明确设置为private（需要一个账户）的内容，将会被所有人公开查阅。

tl;dr

使用Yara规则从pastebin中查找和保存有趣的数据：https://github.com/kevthehermit/PasteHunter

很多黑客团队都喜欢把自己的攻击成果(比如数据库、代码)贴在网站上来炫耀，包括一些开发人员/网络工程师意外的将内部配置和凭据泄露。

那么作为安全分析人员，我们又该如何筛选这些数据为我们所用呢？

我们可以检索pastebin上所有被上传的数据，并筛选出我们感兴趣的数据。这里我要向大家推荐使用一款叫做dumpmon的推特机器人，它监控着众多“贴码网站”的账户转储、配置文件和其他信息。值得一提的是， Pastebin虽未禁止我们爬取它的数据，但在IP方面却有一定限制，一旦触发IP锁将会被临时甚至永久封禁。

幸运的是，Pastebin为我们提供了一个专门为这种任务所设计的API。目前只需支付19.95美元，即可永久免费使用该功能。

如何将Pastebin上的信息应用于安全分析和威胁情报领域

有了专业版的账号，我们就可以从一个白名单列表以每秒钟调用一次API的频率来检索数据了。实际上，你并不需要以如此高的频率进行查询。

现在我们可以访问所有的数据了，那么该如何处理这些数据呢？我们可以使用PasteHunter。

这是一个简单的脚本和一组Yara规则，将从pastebin API获取粘贴，并将任何匹配的粘贴存储到具有漂亮的Kibana前端的elastic搜索引擎中。

如何将Pastebin上的信息应用于安全分析和威胁情报领域

如果你对Yara不是特别了解，这里我简单的为大家介绍一下。Yara是一种模式匹配引擎，主要用于扫描文件和分类恶意软件家族。有了它我们就可以简单的构建一些较为复杂的匹配规则。

安装比较简单。如果你希望通过Web UI搜索内容，请安装elastic搜索和Kibana。

我们还需要python3，Yara并将Yara和python绑定。

安装完了所有的依赖关系后，我们从代码库克隆代码并设置一个cronjob来定期运行脚本。更详细示例及说明请参阅Github文件。

代码中已经有一些为我们设定好的采集规则，可以用于扫描一些常见的数据，例如密码转储，泄露凭据被黑客入侵的网站等。此外，你也可以通过创建一个这样的custom_keywords.yar文件来轻松添加自己的关键字。

/*
This rule will match any of the keywords in the list
*/
rule custom_keywords
{
meta:
author = "@KevTheHermit"
info = "Part of PasteHunter"
strings:
$my_email = "thehermit@techanarchy.net" wide ascii nocase
$my_domain = "techanarchy.net" wide ascii nocase
$this_word = "This Word"
$other_word = "More Words"
condition:
any of them
}
通过自定义的规则你可以查找域名、邮件地址、文档名等意外泄露或者被他人窃取的信息。

有关创建yara规则的更多详细信息，你可以参考其官方文档。

随着脚本的启动和运行，你应该可以看到数据不断的被开始采集。

以下是一些被捕获数据的示例。

如何将Pastebin上的信息应用于安全分析和威胁情报领域

powershell_exe.png

需要提醒的是这些规则可能会出现误报，对于数据的可信程度我们也不能一概而论。

最后，我要感谢@tu5k4rr，是他的pastabean工具给了我本文的思路！

*参考来源：techanarchy，FB小编 secist 编译，转载请注明来自FreeBuf.COM

secist
secist
314 篇文章
等级： 9级
||
上一篇：中国平安网络安全保险战略签约仪式在公安三所举办下一篇：Chrome XSS审计之SVG标签绕过
发表评论已有 1 条评论

AdlerI (5级) 这家伙太勤快了，居然写个人描述！ 2017-09-22回复 1楼
只要 19.95 美元，就能收获大量信息，这波可以的！

亮了(0)
昵称
请输入昵称
必须您当前尚未登录。登陆？注册邮箱
请输入邮箱地址
必须（保密）表情插图
有人回复时邮件通知我
secist
secist

每个人的心中都有一个梦。。

314
文章数
60
评论数
最近文章
SlackExtract：用于提取slack用户所有文件的PowerShell脚本
2018.11.14

我是如何找到Donald Daters应用数据库漏洞的
2018.11.13

Jndiat：通过T3协议测试Weblogic服务器安全性
2018.11.12

浏览更多
相关阅读
如何将Pastebin上的信息应用于安全分析和威胁情报领域
浅析大规模DDOS防御架构：应对T级攻防Linux Remaiten恶意软件正在部署物联网设备僵尸网络AWS攻防 | 利用DNS技术突破AWS隔离网络限制进行数据渗漏基于大数据和机器学习的Web异常参数检测系统Demo实现
特别推荐

关注我们分享每日精选文章

活动预告
11月

FreeBuf精品公开课·双11学习狂欢节 | 给努力的你打打气
已结束
10月

【16课时-连载中】挖掘CVE不是梦（系列课程2）
已结束
10月

【首节课仅需1元】挖掘CVE不是梦
已结束
9月

pastebin

文章评论