热门威胁情报库深入分析

 本文主要围绕了现有的几个热门情报库进行了部分分析，包括VirusTotal，ThreatCrowd，IBMX-force，VirusBook以及VirusMiner。分析点包括数据来源分析，提供的功能及服务，以及情报质量。废话不多说，直接上干货~

一、VirusTotal

1.1 数据来源：

VirusTotal 共有 51 个防毒引擎进行侦测，数据主要来源于这些引擎提供的资料，最近增加一些自己分析的数据结果。

1.2 主要功能与服务形式

1. 搜索文件的扫描报告，可以只输入其哈希

2. 搜索URL扫描报告 

3. 寻找IP地址信息

4. 搜索域名信息

5. 搜索VirusTotal Community users 

6. 搜索VirusTotal Community comments

7. 包含其他的功能，YARA规则匹配，样本聚类等。

8. 提供免费公共的API

    https://www.virustotal.com/zh-cn/documentation/public-api/  

9. 提供服务交互的桌面应用程序

1.3 情报质量

质：VirusTotal搜索到的信息来自于其他的防毒引擎，自身并不做任何更改与删减，但是近期做了一些自主的分析报告，增加了对于情报的筛选工作。增加了信息的可靠性和自主控制性。

量：VirusTotal 共有 51个防毒引擎对威胁信息进行侦测，基本可覆盖网络中公开的资源。

1.4 附加  YARA规则匹配样本聚类

YARA是帮助研究人员识别和分类恶意样本。可以使用YARA创建恶意团队的文本描述或二进制模式描述。每种描述或者规则，需要包含字符串和布尔表达式。

使用命令行接口或者从Python script使用yara的python接口。

未完待续~