Webshell之威胁情报分析（1）--工具同源分析

      通过威胁情报，可以帮助我们从被动安全到主动安全的转变，当然这里谈到的主动安全不是说直接攻击对手，而是在攻击者有攻击企图的早期就能预警到，并进行行为监控，并能及时采取Action。

      安全行业有一副图经常被引用（据说最早出自tk之手），也经常看到这副图的修改稿。威胁情报分析，实质也就是挖掘整体黑色产业链，主动的监控、切断相关环节，并对恶意工具的制作者、攻击者、卖家买家等进行查出，从而达到主动防御的效果。

       关于Webshell的“战略情报”分析，主要包含攻击者画像、攻击行为画像、工具同源分析（作者画像）、事件整体影响画像，本文为第一篇，主要介绍工具同源分析，即攻击工具的作者画像。

      工具同源分析，其实就是找出攻击工具或木马的作者，类似“星系”，我们要“打击”攻击者，同时也要找到“恶意工具”的制造者。

      这里主要看图，就不详细介绍，通过大量的Webshell样本，结合威胁情报库进行深入的分析，找出攻击工具的作者。

       后面会通过一些实例进行介绍。通过威胁情报，从被动安全到主动安全的转变，你将会赢得整个战役，而不是一场战斗。（Use threat intelligence Win the war – not the battle）。