Объект, наблюдаемый в сети или операционной системе, который с большой долей вероятности указывает на компрометацию устройства (Indicator of Compromise, IoC). К таким объектам могут быть отнесены обнаруженные сигнатуры вирусов, хэш-суммы вредоносных файлов, адреса командных серверов ботнетов. Индикатор компрометации используется для раннего обнаружения попыток проникновения в компьютерные системы и первичной оценки возможной угрозы [1].

Зачастую IoC появляются уже после совершения атаки и достижения ее цели (например, получение файлов в зараженной системе с их последующей отправкой на удаленный сервер). Отслеживание индикаторов компрометации также играет большую роль в контексте криминалистических расследований. Несмотря на то, что сбор индикаторов не позволяет вмешаться в цепь атаки, его можно использовать для улучшения защиты и предотвращения будущих атак [2].

Существует множество типов IoC [5]:
— MD5 или SHA256-хэши вредоносных программ или бэкдоров;
— IP-адреса C2-каналов (Command-and-control servers, C&C или C2) или узлов атаки;
— домены, связанные с атаками;
— ключи реестра в ОС Windows, созданные или модифицированные вредоносными программами;
— байтовые строки, расположенные во вредоносных программах, которые можно найти на диске или в памяти.

IoC подобны сигнатурам антивируса, но предназначены для широкого распространения и могут содержать паттерны фишинг-атак или IP-адреса, связанные с атаками типа «отказ в обслуживании» (DoS).

IoC выстраиваются в «Пирамиду боли»:

«количество боли, которую вы причиняете злоумышленнику, зависит от типов индикаторов, которые вы можете использовать»

Существует несколько основных форматов для распространения IoC:
— Snort
— Yara
— Sigma
— OpenIOC
— STIX (Structured Threat Information eXpression) и TAXII (Trusted Automated eXchange of Indicator Information)

IoC в привязке к Kill Chain [3]:

Семь фаз цепочки вторжения:

1. Разведка. Цель исследуется поверхностно, возможно, с использованием сканеров уязвимостей, таких как ZAP или NMAP, или с помощью изучения сведений из соцсетей, почтовой рассылки и т. д. Это может быть также реальная разведка с посещением здания офиса цели. Фаза сбора информации.
2. Оснащение или Вооружение. Разработка атаки на цель, такой как троянский конь, в PDF-документе с логотипом компании или эксплойт в каком-то оборудовании.
3. Доставка. Развертывание атаки на жертву. Механизм зависит от цели, самый популярный прием — удаленные сетевые атаки.
4. Заражение. Активация атаки на жертву с целью ее взлома. Заражение часто происходит автоматически по вызову пользователя, как с развертыванием троянского коня при успешном ходе событий, также его может в любое время удаленно запустить атакующий.
5. Установка. Как только цель оказывается взломанной, атакующие обычно «заселяются» и начинают развертывание своих инструментов. На этой фазе развертываются бэкдоры, разведчики и другие трояны.
6. Получение управления. Большинство атакующих действуют вслепую, пока в жертве не будут установлены их инструменты, которые начнут высылать отчеты. Соединение называется С2-каналом и позволяет атакующему получить контроль над жертвой.
7. Выполнение действий у жертвы. Атакующий находится по ту сторону барьера и может продолжить преследовать свои цели, будь то кража данных или получение доступа к другой системе (что называется боковым перемещением).

Где искать индикаторы: Outbound Network Traffic, User Activities/Failed Logins, User profile folders, Administrative Access, Access from unsual IP addresses, Database IO: excessive READs, Size of responses of web pages, Unusual access to particular files within Web Application (backdoor), Unusual port/protocol connections, DNS and HTTP traffic requests
Suspicious Scripts, Executables and Data Files [4].

! Подробнее см. Эпичная сага о сведениях Threat Intelligence

см. Как работать с данными киберразведки: учимся собирать и выявлять индикаторы компрометации систем

см. Using IOC (Indicators of Compromise) in Malware Forensics

см. Показатели компрометации как средство снижения рисков

см. примеры IoC

см. на связанную тему Откуда возникла необходимость в Threat Intelligence и О потребителях и типах Threat Intelligence

Софт:
— The GOSINT framework is a project used for collecting, processing, and exporting high quality indicators of compromise

Источники литературы:
1) «Лаборатория Касперского»
2) MS
3) CISCO и видео
4) Реагирование на инциденты, признаки компрометации, оценка возможностей атакующих
5) книга «Безопасный DevOps. Эффективная эксплуатация систем» (2020)