宏虹乾貨 | 網路取證分析和入侵分析培訓重磅來襲,先來認真預習!什麼是IOC?應該如何識別和回應?

● 網路安全中的IOC是什麼?
● IOC和IOA有什麼區別?
● IOC有哪些類型?
● IOC的常見實例有哪些?
● IOC解決方案和工具

近期,Wireshark 大學和宏虹Allegro Packets聯合舉辦了網路取證和入侵分析線上培訓課程,這是亞太地區的首次培訓,目的是為了幫助企業熟練運用Allegro流量分析儀和Wireshark,準確識別失陷指標(IoC)。還將有機會與前黑帽(Blackhat)取證調查員Phill Shade一同探討真實世界的網路取證案例研究哦。

本文先與大家探討IOC的概念、類型、常見示例以及相關解決方案和工具,同時比較IOC與IOA的區別,並探討高級網路和安全培訓的重要性。

Indicators of Compromise(IOC),也被稱為失陷指標,經常用於取證調查場景,指的是網路攻擊或安全漏洞導致的主機受損的證據,比如惡意檔哈希值,惡意軟體的特徵,惡意的IP地址、URL、功能變數名稱等被動識別的信標。這些指標是惡意行為者留下的有形線索或痕跡,有助於企業識別、分析、調查和修復網路安全事件,使企業能夠迅速做出反應,減輕漏洞造成的影響。

攻擊指標(IOA)和失陷指標(IOC)是網路安全中很有價值的概念,但它們在側重點、時間範圍和使用方法上都有所不同。以下是 IOA 和 IOC 的主要區別:

側重點:IOA 重點關注攻擊者在持續網路攻擊中使用的戰術、技術和程式 (TTP)。它們通過識別表明存在惡意活動的可疑行為或模式,幫助檢測正在發生或即將發生的攻擊。而 IOC 則側重於識別表明系統或網路已被入侵的線索或證據。它們來自於觀察到的惡意活動,並提供識別成功入侵的資訊。
時間範圍: IOA 通常在攻擊的早期階段使用,以檢測和應對正在發生的威脅。它們可幫助企業即時識別和緩解攻擊,從而實現主動防禦。另一方面,IOC 在攻擊發生後使用。它們對於事件後調查和取證分析非常有價值,可以確定入侵的範圍、影響和根本原因。
使用方法: IOA 具有前瞻性,可幫助安全團隊根據已知的攻擊模式和技術識別潛在的威脅或攻擊。它們重點關注攻擊者的行為和活動,以便在攻擊得逞之前檢測和預防攻擊。而 IOC 是反應性的,用於在攻擊發生後識別是否存在漏洞。它們可幫助企業識別和應對安全事件,評估危害程度,並實施補救措施。
範圍: IOA 涵蓋更廣泛的潛在攻擊場景和技術。它們使用行為分析、異常檢測和啟發式方法來識別潛在的惡意活動。而 IOC 通常基於與特定威脅或入侵相關的已知簽名、模式或工具。它們包括與已知惡意實體相關的特定檔哈希值、IP 地址、URL 或模式等指標。

總之,IOA 側重於通過識別正在進行的攻擊中的可疑行為和活動來檢測和預防攻擊,而 IOC 則用於通過分析入侵後留下的線索來追溯性地識別和調查安全事件。IOA 和 IOC 在增強組織的整體安全態勢和事件回應能力方面都發揮著至關重要的作用。

安全團隊依靠各種 IOC 來保護網路和端點系統。各種來源以不同的方式對 IOC 進行分類。有一種方法是將其分為三大類:

基於網路型。基於網路的 IOC 包括異常流量模式或意外使用協議或端口等事件。例如,訪問某個特定網站的流量可能突然增加,或者與已知惡意的 URL、IP 地址或域的連接出現意外。
基於主機型。基於主機的 IOC 可揭示單個端點上的可疑行為。它們可能包括各種潛在威脅,包括未知進程、可疑哈希檔或其他類型的檔、系統設置或檔許可權的更改,或檔案名、擴展名或位置的更改。基於檔的 IOC 有時與基於主機的 IOC 分開處理。
異常行為型。行為型 IOCs 反映的是整個網路或電腦系統的行為,如反復嘗試登錄失敗或在不尋常的時間登錄,這一類別有時被納入其他類別。

通過使用各種類型的 IOC,安全團隊可以更有效地檢測和應對安全漏洞,並更積極地預防安全漏洞。

1、異常出站網路流量

離開網路的流量是 IT 團隊用來識別潛在問題的一個指標。如果出站流量模式可疑異常,IT 團隊可以密切關注,檢查是否有問題。由於這種流量來自網路內部,因此通常最容易監控,如果立即採取行動,就能阻止多種威脅。

2、網路釣魚電子郵件

網路釣魚電子郵件是攻擊者獲取敏感資訊或在受害者系統中安裝惡意軟體的一種常見方式。要識別這些電子郵件可能很困難,因為它們通常看起來像是來自可信來源的合法通信。但是,如果發現任何可疑的電子郵件,例如要求提供登錄憑據或指向陌生網站的鏈接,一定要謹慎並進一步調查。

3、特權用戶帳戶活動異常

特權用戶帳戶通常可以訪問網路或應用程式的特殊或特別敏感的區域。因此,如果發現異常情況,就可以幫助 IT 團隊在攻擊過程中及早識別,從而避免造成重大損失。異常情況可能包括用戶試圖提升特定帳戶的許可權,或使用該帳戶訪問其他擁有更多許可權的帳戶。

4、地理位置異常

如果有來自本企業通常不與之開展業務的國家的登錄嘗試,這可能是潛在安全漏洞的跡象。這可能是其他國家的駭客試圖進入系統的證據。

5、其他登錄信號

當合法用戶嘗試登錄時,他們通常會在幾次嘗試後成功登錄。因此,如果現有用戶多次嘗試登錄,這可能表明有壞人試圖侵入系統。此外,如果用不存在的用戶帳戶登錄失敗,這可能表明有人在測試用戶帳戶,看其中一個帳戶是否能為他們提供非法訪問。

6、資料庫讀取量激增

當攻擊者試圖外泄數據時,他們的努力可能會導致讀取量膨脹。當攻擊者收集用戶資訊並試圖提取時,就會出現這種情況。

7、HTML 回應大小

如果典型的超文本標記語言(HTML)回應大小相對較小,但注意到回應大小要大得多,這可能表明數據已被外泄。當數據傳輸給攻擊者時,大量數據會導致更大的 HTML 回應大小。

8、對同一檔的大量請求

駭客經常反復嘗試請求他們試圖竊取的檔。如果同一檔被多次請求,這可能表明駭客正在測試幾種不同的檔請求方式,希望找到一種有效的方式。

9、不匹配的端口應用流量

攻擊者在實施攻擊時可能會利用不明顯的端口。應用程式使用端口與網路交換數據。如果使用的端口不正常,這可能表明攻擊者試圖通過應用程式滲透網路或影響應用程式本身。

10、可疑的註冊表或系統檔更改

Windows 註冊表包含敏感資訊,例如操作系統和應用程式的配置設置和選項。不斷修改註冊表可能表明攻擊者正在創建用於執行惡意代碼的系統。惡意軟體通常包含更改註冊表或系統檔的代碼。如果出現可疑更改,則可能是 IOC。建立基線可以更容易地發現攻擊者所做的更改。

11、DNS 請求異常

駭客經常使用命令與控制(C&C)伺服器通過惡意軟體入侵網路。C&C 伺服器會發送命令以竊取數據、中斷網路服務或用惡意軟體感染系統。如果功能變數名稱系統 (DNS) 請求異常,特別是來自某個主機的請求,這可能就是 IOC。

此外,請求的地理位置可以幫助 IT 團隊發現潛在問題,尤其是當 DNS 請求異常國家或地區的合法用戶時。

12、未知軟體安裝

系統上突然出現未知的檔、服務、進程或應用程式,例如意外的軟體安裝。

企業需要制定強大的安全策略來有效識別和回應IOC,例如:

1、擴展檢測和回應 (XDR)平臺

XDR 使組織能夠收集、分析和關聯來自多個來源(包括 IoC)的安全數據,以檢測潛在威脅。

2、終端安全防護平臺

這些平臺允許安全團隊收集、搜索和執行針對 IoC 的規則。例如Morphisec ,它可識別並記錄 IOC,生成警報並生成報告,使安全團隊能夠及時採取行動。同時Morphisec也可以阻止繞過基於簽名或基於行為的檢測的最危險攻擊,補充並增強下一代防病毒和終端檢測與回應解決方案。

3、安裝自動檢查工具

反病毒和反惡意軟體工具可以幫助檢測和消除系統中被識別為 IoC 的惡意代理。不過,即使使用了先進的工具,也要記住零日攻擊(軟體、硬體和安全社區未知的新攻擊)可能不會被這些工具檢測到,並造成嚴重破壞。因此,不應完全依賴這些工具。

4、網路流量監控和分析工具

這些工具例如wireshark、虹科Allegro流量分析儀可以捕獲和分析即時或歷史網路流量,檢測異常的網路流量模式,如大量的未經授權數據傳輸、異常的端口使用等,同時能夠幫助安全團隊深入分析網路流量的協議,識別異常或不正常的協議行為,例如未經授權的協議使用或變種協議。通過監控流量並檢查與已知惡意IP地址和功能變數名稱的通信等等,這些工具可以幫助識別可能的IoC。

5、緊跟技術前沿趨勢和報告

從可靠的公開 IoC 資訊源網站瞭解有關 IoC 的趨勢和報告。此外,公認的 IoC 的內部資料庫可以集成到監控工具和 SIEM 中。