КиберДетектив

IoC'и и почему они бывают "устаревшими"?

Немного теории

Индикаторы компрометации (IoC'и) представляют собой технические данные, которые можно использовать для идентификации действий или инструментов атакующих, например вредоносной инфраструктуры (имена хостов, доменные имена, IP-адреса), коммуникаций (URL-адреса, схемы обмена данными) или имплантов (хэши, пути к файлам, разделы и значения реестра Windows, артефакты, записанные вредоносными процессами в память, и др.) (Определение отсюда: https://securelist.ru/how-to-collect-and-use-indicators-of-compromise/106352/)

Иными словами, это некие показатели (цифровые следы, если так удобно), которые ранее были засвечены в кибератаках, в связи с чем наличие их в вашей системе указывает на то, что вы потенциально были взломаны.

Теперь к практике

Но так ли все просто? Давайте разбираться:

Как мы поняли выше, IoC'ами могут быть:

1) хеши файлов
2) пути к файлам
3) URL-ки
4) Адреса электронной почты
5) IP-адреса

И если с первыми четырьмя все ясно, то вот с пятым постоянно возникают проблемы и вопросы, особенно когда кто-то подключает свои СЗИ к "поставщикам" этих IoC'ов

Нередко задают вопросы:

Почему ЭТО отражается как IoC? Это же всего лишь сайт (условно) волгоградской аптеки?

Давайте разбираться:

1) Дело в том, что в основе своей IoC'и действительно указывают на связь с какой-либо малварью, C2-сервером и т.д. По идее, указанные данные должны проверяться всеми вендорами и поставщиками индикаторов компрометации едва ли не вручную. Но так делается не всегда и иногда собирают все подряд с вирустотала и аналогичных сервисов. Тут и возникают фолс-позитивы.

2) Ботнет. Сервер, имеющий данный IP-адрес, мог быть банально заражен, став одним из армии "зомби-компьютеров". И да. на нем при этом может лежать сайт волгоградской аптеки, но это не отменяет того, что он принимает участие в кибератаках.

3) Сервер был передан другому заказчику. К примеру, злодей арендовал выделенку, поднял на ней vpn и попытался атаковать ряд сайтов. На него пожаловались. Жалоба дошла до хостинг-провайдера. Он "выгнал" арендатора, передал другому, а тот оказался вполне безобидным, опять же, тем же аптекарем из Волгограда. Такие ситуации нечастые, но имеют место быть.

Вывод

Да, среди IoC'ов так или иначе будет процент фолс-позитивных сработок. Хотите вы того или нет. Поэтому нужно стараться перепроверять каждый случай по мере возможностей.

#хацкеры
#экстренныесоветы

🔎 Еще раз напомню о правовой стороне OSINT-расследований. Вообще, что такое OSINT? Это не специальность, не профессия и не вид услуг. Это совокупность методов и приемов работы (сбора, анализа и т.п.) с информацией (по определению, находящейся в открытом доступе). Доступный инструментарий такого аналитика определяется его профессиональной деятельностью. Т.е. обычный гражданин будет действовать в рамках общего законодательства. А вот полицейский, аудитор, адвокат или журналист - будут обладать дополнительными возможностями и ограничениями, предусмотренными соответствующими федеральными законами.

➡️О правовом статусе OSINT-исследователя в России
➡️Об обработке ПД в процессе OSINT-исследования
➡️Нюансы оформления скриншотов в исследовании
➡️Особенности фиксации аудиозаписей в исследовании
➡️Об оформлении заключения по итогам исследования

🍪 Поддержать канал
📱 НАШИ КОНТАКТЫ

#⃣ #OSINT #LAW #DATA #INVESTIGATION