IoC'и и почему они бывают "устаревшими"?Немного теорииИндикаторы компрометации (IoC'и) представляют собой технические данные, которые можно использовать для идентификации действий или инструментов атакующих, например вредоносной инфраструктуры (имена хостов, доменные имена, IP-адреса), коммуникаций (URL-адреса, схемы обмена данными) или имплантов (хэши, пути к файлам, разделы и значения реестра Windows, артефакты, записанные вредоносными процессами в память, и др.) (Определение отсюда:
https://securelist.ru/how-to-collect-and-use-indicators-of-compromise/106352/)
Иными словами, это некие показатели (цифровые следы, если так удобно), которые ранее были засвечены в кибератаках, в связи с чем наличие их в вашей системе указывает на то, что вы потенциально были взломаны.
Теперь к практике
Но так ли все просто? Давайте разбираться:
Как мы поняли выше, IoC'ами могут быть:
1) хеши файлов
2) пути к файлам
3) URL-ки
4) Адреса электронной почты
5) IP-адресаИ если с первыми четырьмя все ясно, то вот с пятым постоянно возникают проблемы и вопросы, особенно когда кто-то подключает свои СЗИ к "поставщикам" этих IoC'ов
Нередко задают вопросы:Почему ЭТО отражается как IoC? Это же всего лишь сайт (условно) волгоградской аптеки?
Давайте разбираться:1) Дело в том, что в основе своей IoC'и действительно указывают на связь с какой-либо малварью, C2-сервером и т.д. По идее, указанные данные должны проверяться всеми вендорами и поставщиками индикаторов компрометации едва ли не вручную. Но так делается не всегда и иногда собирают все подряд с вирустотала и аналогичных сервисов. Тут и возникают фолс-позитивы.
2) Ботнет. Сервер, имеющий данный IP-адрес, мог быть банально заражен, став одним из армии "зомби-компьютеров". И да. на нем при этом может лежать сайт волгоградской аптеки, но это не отменяет того, что он принимает участие в кибератаках.
3) Сервер был передан другому заказчику. К примеру, злодей арендовал выделенку, поднял на ней vpn и попытался атаковать ряд сайтов. На него пожаловались. Жалоба дошла до хостинг-провайдера. Он "выгнал" арендатора, передал другому, а тот оказался вполне безобидным, опять же, тем же аптекарем из Волгограда. Такие ситуации нечастые, но имеют место быть.
ВыводДа, среди IoC'ов так или иначе будет процент фолс-позитивных сработок. Хотите вы того или нет. Поэтому нужно стараться перепроверять каждый случай по мере возможностей.
#хацкеры
#экстренныесоветы