Rose debug info
---------------

Подписка на блог

Customize in /user/extras/subscribe-sheet.tmpl.php.

Sample text.

Twitter, Facebook, VK, Telegram, LinkedIn, Odnoklassniki, Pinterest, РСС JSON Feed

Sample text.

Индикатор компрометации (IoC)

Объект, наблюдаемый в сети или операционной системе, который с большой долей вероятности указывает на компрометацию устройства (Indicator of Compromise, IoC). К таким объектам могут быть отнесены обнаруженные сигнатуры вирусов, хэш-суммы вредоносных файлов, адреса командных серверов ботнетов. Индикатор компрометации используется для раннего обнаружения попыток проникновения в компьютерные системы и первичной оценки возможной угрозы [1].

Зачастую IoC появляются уже после совершения атаки и достижения ее цели (например, получение файлов в зараженной системе с их последующей отправкой на удаленный сервер). Отслеживание индикаторов компрометации также играет большую роль в контексте криминалистических расследований. Несмотря на то, что сбор индикаторов не позволяет вмешаться в цепь атаки, его можно использовать для улучшения защиты и предотвращения будущих атак [2].

Существует множество типов IoC [5]:
— MD5 или SHA256-хэши вредоносных программ или бэкдоров;
— IP-адреса C2-каналов (Command-and-control servers, C&C или C2) или узлов атаки;
— домены, связанные с атаками;
— ключи реестра в ОС Windows, созданные или модифицированные вредоносными программами;
— байтовые строки, расположенные во вредоносных программах, которые можно найти на диске или в памяти.

IoC подобны сигнатурам антивируса, но предназначены для широкого распространения и могут содержать паттерны фишинг-атак или IP-адреса, связанные с атаками типа «отказ в обслуживании» (DoS).

IoC выстраиваются в «Пирамиду боли»:

«количество боли, которую вы причиняете злоумышленнику, зависит от типов индикаторов, которые вы можете использовать»

Существует несколько основных форматов для распространения IoC:
Snort
Yara
Sigma
OpenIOC
— STIX (Structured Threat Information eXpression) и TAXII (Trusted Automated eXchange of Indicator Information)

IoC в привязке к Kill Chain [3]:

Семь фаз цепочки вторжения:

  1. Разведка. Цель исследуется поверхностно, возможно, с использованием сканеров уязвимостей, таких как ZAP или NMAP, или с помощью изучения сведений из соцсетей, почтовой рассылки и т. д. Это может быть также реальная разведка с посещением здания офиса цели. Фаза сбора информации.
  2. Оснащение или Вооружение. Разработка атаки на цель, такой как троянский конь, в PDF-документе с логотипом компании или эксплойт в каком-то оборудовании.
  3. Доставка. Развертывание атаки на жертву. Механизм зависит от цели, самый популярный прием — удаленные сетевые атаки.
  4. Заражение. Активация атаки на жертву с целью ее взлома. Заражение часто происходит автоматически по вызову пользователя, как с развертыванием троянского коня при успешном ходе событий, также его может в любое время удаленно запустить атакующий.
  5. Установка. Как только цель оказывается взломанной, атакующие обычно «заселяются» и начинают развертывание своих инструментов. На этой фазе развертываются бэкдоры, разведчики и другие трояны.
  6. Получение управления. Большинство атакующих действуют вслепую, пока в жертве не будут установлены их инструменты, которые начнут высылать отчеты. Соединение называется С2-каналом и позволяет атакующему получить контроль над жертвой.
  7. Выполнение действий у жертвы. Атакующий находится по ту сторону барьера и может продолжить преследовать свои цели, будь то кража данных или получение доступа к другой системе (что называется боковым перемещением).

Где искать индикаторы: Outbound Network Traffic, User Activities/Failed Logins, User profile folders, Administrative Access, Access from unsual IP addresses, Database IO: excessive READs, Size of responses of web pages, Unusual access to particular files within Web Application (backdoor), Unusual port/protocol connections, DNS and HTTP traffic requests
Suspicious Scripts, Executables and Data Files [4].

! Подробнее см. Эпичная сага о сведениях Threat Intelligence

см. Как работать с данными киберразведки: учимся собирать и выявлять индикаторы компрометации систем

см. Using IOC (Indicators of Compromise) in Malware Forensics

см. Показатели компрометации как средство снижения рисков

см. примеры IoC

см. на связанную тему Откуда возникла необходимость в Threat Intelligence и О потребителях и типах Threat Intelligence

Софт:
The GOSINT framework is a project used for collecting, processing, and exporting high quality indicators of compromise

Источники литературы:
1) «Лаборатория Касперского»
2) MS
3) CISCO и видео
4) Реагирование на инциденты, признаки компрометации, оценка возможностей атакующих
5) книга «Безопасный DevOps. Эффективная эксплуатация систем» (2020)

Подписаться на блог
Поделиться
Отправить
Запинить
 423   11 мес   Infosec   Security   SIEM
Дальше