Индикатор компрометации (IoC)

#Обучение

Объект, наблюдаемый в сети или операционной системе, который с большой долей вероятности указывает на компрометацию устройства (Indicator of Compromise, IoC). К таким объектам могут быть отнесены обнаруженные сигнатуры вирусов, хэш-суммы вредоносных файлов, адреса командных серверов ботнетов. Индикатор компрометации используется для раннего обнаружения попыток проникновения в компьютерные системы и первичной оценки возможной угрозы [1]. 

Зачастую IoC появляются уже после совершения атаки и достижения ее цели (например, получение файлов в зараженной системе с их последующей отправкой на удаленный сервер). Отслеживание индикаторов компрометации также играет большую роль в контексте криминалистических расследований. Несмотря на то, что сбор индикаторов не позволяет вмешаться в цепь атаки, его можно использовать для улучшения защиты и предотвращения будущих атак [2]. 

Существует множество типов IoC [5]:

— MD5 или SHA256-хэши вредоносных программ или бэкдоров;

— IP-адреса C2-каналов (Command-and-control servers, C&C или C2) или узлов атаки;

— домены, связанные с атаками;

— ключи реестра в ОС Windows, созданные или модифицированные вредоносными программами;

— байтовые строки, расположенные во вредоносных программах, которые можно найти на диске или в памяти. 

IoC подобны сигнатурам антивируса, но предназначены для широкого распространения и могут содержать паттерны фишинг-атак или IP-адреса, связанные с атаками типа «отказ в обслуживании» (DoS).

IoC выстраиваются в «Пирамиду боли»: 

«количество боли, которую вы причиняете злоумышленнику, зависит от типов индикаторов, которые вы можете использовать»

Существует несколько основных форматов для распространения IoC:

— Snort

— Yara

— Sigma

— OpenIOC

— STIX (Structured Threat Information eXpression) и TAXII (Trusted Automated eXchange of Indicator Information) 

IoC в привязке к Kill Chain [3]:

Семь фаз цепочки вторжения: 

1. Разведка. Цель исследуется поверхностно, возможно, с использованием сканеров уязвимостей, таких как ZAP или NMAP, или с помощью изучения сведений из соцсетей, почтовой рассылки и т. д. Это может быть также реальная разведка с посещением здания офиса цели. Фаза сбора информации.
2. Оснащение или Вооружение. Разработка атаки на цель, такой как троянский конь, в PDF-документе с логотипом компании или эксплойт в каком-то оборудовании.
3. Доставка. Развертывание атаки на жертву. Механизм зависит от цели, самый популярный прием — удаленные сетевые атаки.
4. Заражение. Активация атаки на жертву с целью ее взлома. Заражение часто происходит автоматически по вызову пользователя, как с развертыванием троянского коня при успешном ходе событий, также его может в любое время удаленно запустить атакующий.
5. Установка. Как только цель оказывается взломанной, атакующие обычно «заселяются» и начинают развертывание своих инструментов. На этой фазе развертываются бэкдоры, разведчики и другие трояны.
6. Получение управления. Большинство атакующих действуют вслепую, пока в жертве не будут установлены их инструменты, которые начнут высылать отчеты. Соединение называется С2-каналом и позволяет атакующему получить контроль над жертвой.
7. Выполнение действий у жертвы. Атакующий находится по ту сторону барьера и может продолжить преследовать свои цели, будь то кража данных или получение доступа к другой системе (что называется боковым перемещением). 

Где искать индикаторы: Outbound Network Traffic, User Activities/Failed Logins, User profile folders, Administrative Access, Access from unsual IP addresses, Database IO: excessive READs, Size of responses of web pages, Unusual access to particular files within Web Application (backdoor), Unusual port/protocol connections, DNS and HTTP traffic requests

Suspicious Scripts, Executables and Data Files [4].

см. Как работать с данными киберразведки: учимся собирать и выявлять индикаторы компрометации систем 

см. Using IOC (Indicators of Compromise) in Malware Forensics 

см. Показатели компрометации как средство снижения рисков 

см. примеры IoC

см. на связанную тему Откуда возникла необходимость в Threat Intelligence и О потребителях и типах Threat Intelligence 

Софт:

— The GOSINT framework is a project used for collecting, processing, and exporting high quality indicators of compromise

Источник