Какие бывают индикаторы компрометации (IOC)

security Security

Индикаторы компрометации (IOC) служат в качестве криминалистических доказательств потенциальных вторжений в хост-систему или сеть. Эти артефакты позволяют специалистам по информационной безопасности (InfoSec) и системным администраторам обнаруживать попытки вторжения или другие вредоносные действия. Исследователи безопасности используют IOC для лучшего анализа методов и поведения конкретной вредоносной программы. IOC также предоставляют оперативную информацию об угрозах, которой можно поделиться в сообществе для дальнейшего совершенствования стратегий реагирования на инциденты и устранения последствий.

Некоторые из этих артефактов можно найти в журналах событий  системы, а также в приложениях и службах. Специалисты по информационной безопасности и администраторы ИТ/систем также используют различные инструменты, которые отслеживают IOC , чтобы помочь смягчить, а то и предотвратить нарушения или атаки.

Вот некоторые индикаторы компрометации, на которые обращают внимание:

  • Необычный трафик, входящий и выходящий из сети
  • Неизвестные файлы, приложения и процессы в системе
  • Подозрительная активность в учетных записях администратора или привилегированных учетных записях
  • Нерегулярная деятельность, например, трафик в странах, с которыми организация не ведет дела.
  • Cомнительные входы в систему, доступ и другие действия в сети, указывающие на зондирование или атаки грубой силы
  • Аномальные всплески запросов и объема чтения в файлах компании
  • Cетевой трафик, проходящий через необычно используемые порты
  • Поддельные конфигурации файлов, серверов доменных имен (DNS) и реестра, а также изменения в настройках системы, в том числе на мобильных устройствах
  • Большое количество сжатых файлов и данных, необъяснимым образом оказавшихся в местах, где их не должно быть

Технические индикаторы компрометации (IOC)

К данному типу относятся артефакты, позволяющие обнаруживать вредоносное программное обеспечение или деятельность злоумышленника  с использование средств автоматизации. К примеру в EDR или SIEM системах.

Индикаторы компрометации могут быть как сетевые, фиксируемые с межсетевых экранов, систем обнаружения вторжений (IDS), анализаторой сетевого трафика (NetFlow, sFlow) и т.д.

Так и хостовые, которые обнаруживаются антивирусным ПО, узловыми IDS, EDR системами, с помощью специализированно ПО Sysmon или в журналах аудита операционной системы.

Основные используемые типы индикаторов компрометации

Сетевые

  • IPv4 - Адрес или список адресов серверов управления вредоносным по в формате IPv4. К примеру 8.8.8.8
  • IPv6 - Адрес или список адресов серверов управления вредоносным по в формате IPv4. К примеру 2001:4860:4860::8888
  • CIDR - Подсеть или список подсетей, указанные с использование маски подсети. К примеру 8.8.8.8/32
  • Hostname (domain) - Имя или список доменных имен. К примеру dns.google
  • URL - Полный URL включающий домен, порт подключения (не обязательно) и путь на веб сервере. К примеру https://www.google.com/humans.txt
  • URI - Чать URL учитывающая только путь до файла на веб сервере, без указания конкретного домена или протокола. К примеру /humans.txt
  • Email - Адрес электронной почты.
  • SSLCertFingerprint - Контрольная сумма сертификата, который используется при подключению к веб серверу или по любому защищенному протоколу.

Контрольные суммы файлов (FileHash)

  • MD5 - 128-битный алгоритм хеширования, разработанный профессором Рональдом Л. Ривестом из Массачусетского технологического института в 1991 году. Предназначен для создания «отпечатков» или дайджестов сообщения произвольной длины и последующей проверки их подлинности
  • SHA1 - алгоритм криптографического хеширования. Для входного сообщения произвольной длины алгоритм генерирует 160-битное хеш-значение, называемое также дайджестом сообщения, которое обычно отображается как шестнадцатеричное число длиной в 40 цифр.
  • SHA256 - хеш-функция из семейства алгоритмов SHA-2 предназначена для создания «отпечатков» или «дайджестов» для сообщений произвольной длины.
  • imphash - это хэш, который вычисляется от списка импортируемых функций в PE файле.
  • SSDEEP - Алгоритм разработан Джесси Корнблюмом для использования в компьютерной криминалистике и основан на алгоритме spamsum. SSDeep вычисляет несколько традиционных криптографических хешей фиксированного размера для отдельных сегментов файла и тем самым позволяет обнаруживать похожие объекты.

Файлы и директории

  • FilePath - полный путь до файла. В том числе с использованием переменных операционной системы.
  • FileName - Имя файла.

Прочие

  • CVE - Идентификатор из базы данных уязвимостей Mitre
  • YARA - Правила YARA используются для классификации и идентификации образцов вредоносного ПО путем создания описаний семейств вредоносных программ на основе текстовых или бинарных шаблонов.
  • BitcoinAddress - Адреса кошельков Bitcoin.
Добавить комментарий