>>>

通過威脅情報，可以幫助我們從被動安全到主動安全的轉變，當然這裡談到的主動安全不是說直接攻擊對手，而是在攻擊者有攻擊企圖的早期就能預警到，並進行行為監控，並能及時採取Action。

安全行業有一副圖經常被引用（據說最早出自tk之手），也經常看到這副圖的修改稿。威脅情報分析，實質也就是挖掘整體黑色產業鏈，主動的監控、切斷相關環節，並對惡意工具的製作者、攻擊者、賣家買家等進行查出，從而達到主動防禦的效果。

關於Webshell的“戰略情報”分析，主要包含攻擊者畫像、攻擊行為畫像、工具同源分析（作者畫像）、事件整體影響畫像，本文為第一篇，主要介紹工具同源分析，即攻擊工具的作者畫像。

工具同源分析，其實就是找出攻擊工具或木馬的作者，類似“星系”，我們要“打擊”攻擊者，同時也要找到“惡意工具”的製造者。

這裡主要看圖，就不詳細介紹，通過大量的Webshell樣本，結合威脅情報庫進行深入的分析，找出攻擊工具的作者。

後面會通過一些例項進行介紹。通過威脅情報，從被動安全到主動安全的轉變，你將會贏得整個戰役，而不是一場戰鬥。（Use threat intelligence Win the war – not the battle）。

轉載於:https://my.oschina.net/swfeng/blog/538833