Индикаторы компрометации (IOC) служат в качестве криминалистических доказательств потенциальных вторжений в хост-систему или сеть. Эти артефакты позволяют специалистам по информационной безопасности (InfoSec) и системным администраторам обнаруживать попытки вторжения или другие вредоносные действия. Исследователи безопасности используют IOC для лучшего анализа методов и поведения конкретной вредоносной программы. IOC также предоставляют оперативную информацию об угрозах, которой можно поделиться в сообществе для дальнейшего совершенствования стратегий реагирования на инциденты и устранения последствий.
Некоторые из этих артефактов можно найти в журналах событий системы, а также в приложениях и службах. Специалисты по информационной безопасности и администраторы ИТ/систем также используют различные инструменты, которые отслеживают IOC , чтобы помочь смягчить, а то и предотвратить нарушения или атаки.
Пирамида боли - Эта простая диаграмма показывает взаимосвязь между типами индикаторов, которые вы можете использовать для обнаружения деятельности противника, и тем, какую боль он получит, когда вы сможете лишить его этих индикаторов.
Вот некоторые индикаторы компрометации, на которые обращают внимание:
- Необычный трафик, входящий и выходящий из сети
- Неизвестные файлы, приложения и процессы в системе
- Подозрительная активность в учетных записях администратора или привилегированных учетных записях
- Нерегулярная деятельность, например, трафик в странах, с которыми организация не ведет дела.
- Cомнительные входы в систему, доступ и другие действия в сети, указывающие на зондирование или атаки грубой силы
- Аномальные всплески запросов и объема чтения в файлах компании
- Cетевой трафик, проходящий через необычно используемые порты
- Поддельные конфигурации файлов, серверов доменных имен (DNS) и реестра, а также изменения в настройках системы, в том числе на мобильных устройствах
- Большое количество сжатых файлов и данных, необъяснимым образом оказавшихся в местах, где их не должно быть
Технические индикаторы компрометации (IOC)
К данному типу относятся артефакты, позволяющие обнаруживать вредоносное программное обеспечение или деятельность злоумышленника с использование средств автоматизации. К примеру в EDR или SIEM системах.
Индикаторы компрометации могут быть как сетевые, фиксируемые с межсетевых экранов, систем обнаружения вторжений (IDS), анализаторой сетевого трафика (NetFlow, sFlow) и т.д.
Так и хостовые, которые обнаруживаются антивирусным ПО, узловыми IDS, EDR системами, с помощью специализированно ПО Sysmon или в журналах аудита операционной системы.
Основные используемые типы индикаторов компрометации
Сетевые
- IPv4 - Адрес или список адресов серверов управления вредоносным по в формате IPv4. К примеру 8.8.8.8
- IPv6 - Адрес или список адресов серверов управления вредоносным по в формате IPv4. К примеру 2001:4860:4860::8888
- CIDR - Подсеть или список подсетей, указанные с использование маски подсети. К примеру 8.8.8.8/32
- Hostname (domain) - Имя или список доменных имен. К примеру dns.google
- URL - Полный URL включающий домен, порт подключения (не обязательно) и путь на веб сервере. К примеру https://www.google.com/humans.txt
- URI - Чать URL учитывающая только путь до файла на веб сервере, без указания конкретного домена или протокола. К примеру /humans.txt
- Email - Адрес электронной почты.
- SSLCertFingerprint - Контрольная сумма сертификата, который используется при подключению к веб серверу или по любому защищенному протоколу.
Контрольные суммы файлов (FileHash)
- MD5 - 128-битный алгоритм хеширования, разработанный профессором Рональдом Л. Ривестом из Массачусетского технологического института в 1991 году. Предназначен для создания «отпечатков» или дайджестов сообщения произвольной длины и последующей проверки их подлинности
- SHA1 - алгоритм криптографического хеширования. Для входного сообщения произвольной длины алгоритм генерирует 160-битное хеш-значение, называемое также дайджестом сообщения, которое обычно отображается как шестнадцатеричное число длиной в 40 цифр.
- SHA256 - хеш-функция из семейства алгоритмов SHA-2 предназначена для создания «отпечатков» или «дайджестов» для сообщений произвольной длины.
- imphash - это хэш, который вычисляется от списка импортируемых функций в PE файле.
- SSDEEP - Алгоритм разработан Джесси Корнблюмом для использования в компьютерной криминалистике и основан на алгоритме spamsum. SSDeep вычисляет несколько традиционных криптографических хешей фиксированного размера для отдельных сегментов файла и тем самым позволяет обнаруживать похожие объекты.
Процессы
- Mutex (Мьютексы) - используются для защиты данных или других ресурсов от одновременного доступа.
Файлы и директории
- FilePath - полный путь до файла. В том числе с использованием переменных операционной системы.
- FileName - Имя файла.
Прочие
- CVE - Идентификатор из базы данных уязвимостей Mitre
- YARA - Правила YARA используются для классификации и идентификации образцов вредоносного ПО путем создания описаний семейств вредоносных программ на основе текстовых или бинарных шаблонов.
- BitcoinAddress - Адреса кошельков Bitcoin.