妥协的指标(Indicators of Compromise)
妥协指标(IOC)被定义为“法医数据,包括在系统日志条目或文件中找到的数据,用于识别系统或网络上的潜在恶意活动。”
通过监控IOC,组织可以检测攻击并迅速采取行动,防止此类攻击发生,或通过阻止早期攻击来限制损害。
有一些用例,允许查询法医文物,如 -
- 通过MD5查找特定文件
- 搜索实际存储在内存中的特定实体
- 特定条目或条目集,存储在Windows注册表中
上述所有组合在搜索工件方面提供了更好的结果。 如上所述,Windows注册表为生成和维护IOC提供了一个完美的平台,它直接有助于计算取证。
方法 Methodology
查找文件系统中的位置,特别是现在进入Windows注册表。
搜索由取证工具设计的工件集。
寻找任何不良活动的迹象。
调查生命周期
调查生命周期跟随IOC,它在注册表中搜索特定条目。
Stage 1: Initial Evidence - 在主机或网络上检测到危害的证据。 响应者将调查并确定确切的解决方案,这是一个具体的取证指标。
Stage 2: Create IOCs for Host & Network - 在收集的数据之后,创建了IOC,使用Windows注册表很容易实现。 OpenIOC的灵活性为如何制作指标提供了无限的排列数量。
Stage 3: Deploy IOCs in the Enterprise - 一旦创建了指定的IOC,调查员将在Windows寄存器中借助API部署这些技术。
Stage 4: Identification of Suspects - IOC的部署有助于以正常方式识别嫌疑人。 甚至还会识别其他系统。
Stage 5: Collect and Analyze Evidence - 相应地Stage 5: Collect and Analyze Evidence针对嫌疑人的证据。
Stage 6: Refine & Create New IOCs - 调查团队可以根据企业中的证据和数据以及其他情报创建新的IOC,并继续完善其周期。
下图显示了调查生命周期的各个阶段 -
