OpenIOC — это формат для описания индикаторов компрометации (IOC), созданный Mandiant (теперь FireEye) для управления их инструментами безопасности для конечных точек.

OpenIOC использует XML, что делает эти документы почти нечитабельными для неподготовленного взгляда.

Далее приведен пример документа IOC, который ищет бэкдор Sourface, нацеленный на Windows-системы:

Это лишь отрывок файла, полная версия.

В первой части указаны метаданные с уникальными идентификаторами, автором и датой. Любопытная информация находится в разделе . Раздел начинается с элемента Indicator, который объявляет оператор OR, что означает: любой элемент IndicatorItem, который последует за ним, будет указывать на наличие соответствия (для оператора AND потребуется, чтобы все элементы IndicatorItem имели соответствия).

Затем в разделе Indicator определяются три элемента IndicatorItem.
—‰ PortItem проверяет, соединен ли удаленный IP-адрес 70.85.221.10 с системой.
—‰ FileItem проверяет присутствие файла с контрольной суммой MD5 8c4fa713… на диске, что потребует вычисления контрольных сумм MD5 всех файлов на диске, чтобы сравнить их с контрольной суммой вредоносного файла.
—‰ ProcessItem, исследуя память, ищет библиотеку conhost.dll, загруженную в запущенном процессе.

OpenIOC — формат не очень красивый, но мощный. Mandiant определили сотни условий для поиска указателей в различных частях операционной системы. Несмотря на то что они нацелены на Windows-системы (инструменты, предоставляемые Mandiant, такие как Redline и MIR, работают только на Windows), OpenIOC можно использовать для того, чтобы делиться IOC с другими типами систем.

Yara постепенно становится стандартом в индустрии, вероятно, из-за простоты написания правил Yara по сравнению со сложностью формата OpenIOC c XML, но OpenIOC все еще играет важную роль в распространении указателей среди участников сообществ из-за своей способности делиться не только сигнатурами файлов [1].

см. IOC Editor

Источники литературы:

1. книга «Безопасный DevOps. Эффективная эксплуатация систем» (2020)