妥协的指标是什么?
早在2009年,当H1N1流感毒株(被称为猪流感)的爆发被认为是全球大流行时,Mike Cloppert出版了一个系列威胁情报和网络杀戮链。在这篇文章中,Mike将指标分为三类:原子的、计算的和行为的.大约一年后,Mandiant在他们的m趋势报告中使用了“妥协的指标”这个术语,几天后,Mandiant的Matt Fraizer发布了博客通过分享妥协指标来打击APT.
那么这些杰出的ioco是什么呢?根据TechTarget,它们是“识别系统或网络上潜在恶意活动的取证数据,例如在系统日志条目或文件中发现的数据”。尽管国际奥委会这个词在十多年前就被创造出来了SANS 2021网乐动体育下载链接络威胁情报(CTI)调查当被问及对CTI运营最有用的信息时,受访者回答最多的是“插入IT和安全基础设施以阻止或发现攻击的特定ioco”。一个挑战是从外部报告中获取相关指标,如供应商研究报告(通常是pdf文件)或博客(纯文本/HTML),以便您和您的团队采取行动,但稍后会详细介绍。
最常见的国际石油公司
除了那些似乎一直被博客/推特/报道的指标之外,还有很多指标值得去追求,即使这需要更多的工作。大多数行业报告以IP地址、域名、文件散列,有时还有其他散列(如SSL证书)的形式共享指标。但为了提供指标的例子,我已经包括了关键的IoCs,在发表在Ericka Chickowski的《暗黑阅读》:
- 异常的出站网络流量
- 特权用户帐户活动异常
- 地理上的违规行为
- 登录红旗
- 增加数据库读量
- HTML响应大小
- 对同一文件的大量请求
- 不匹配Port-Application交通
- 可疑的注册表或系统文件更改
- 不寻常的DNS请求
- 意外的系统补丁
- 移动设备配置文件更改
- 数据束在错误的地方
- 带有非人类行为的网络流量
- DDoS活动的迹象
内部和外部指标的结合
ioco虽然有价值,但并不是CTI的全部。Forrester的情报周期收集阶段和凯蒂·尼克尔的描述网络威胁情报的循环乐动体育下载链接强调首先向内看的重要性(就像我的小狗花生一样)。
这意味着你要问自己:你需要什么数据来回答你的智力问题?其中有多少是内部存在的?你需要从外部获得多少?在获取外部情报时应该考虑哪些要求?凯蒂在我们的RSA 2020人类元素中强调了这一点打破坏处小型就在午夜钟声敲响之前,我们并没有变成南瓜,而是在12个月里变成了反社会的海龟。在这个讨论中,她引用了收集管理框架,这是构建这些集合需求的非常有用的工具。最重要的是,一个人不可能在一夜之间就迅速形成有效的CTI策略。
它建立在理解您的需求、收集过程、涉众等的基础上。我更喜欢用罗恩·利文斯顿(Ron Livingston)和《办公空间》(Office Space)中“鲍勃”(Bobs)家族著名会面中的一个彩蛋来总结这一点:人必须有计划。
图片来源:二十世纪福克斯公司出品的《办公空间》
在构建了上面列出的项目之后,ioc的真正价值可以通过丰富的美丽来识别,这包括获取内部威胁情报,并使用来自行业报告/研究、ISACs等的外部指标装饰原始内部数据。
提取外部ioco的工具
好了,到此为止,这篇博客描述了ioco,提醒我们不要在真空中使用它们,现在说说你为什么真的在这里。从不同格式中提取ioco就像做根管治疗一样有趣。我的同事泰勒Wilkes-Pierce他最近开玩笑说,供应商们还不如通过空中文字共享IoCs。关键是,要找出有用的指标来丰富你的内部威胁情报是很困难的。您需要从报告中提取这些指标,以便能够以一种可伸缩的、自动化的方式确定您的环境是否遇到任何报告的指标。
空中书写可能有点极端,但通常你会看到在pdf中嵌入HTML/纯文本的IoCs。因此,为了使您的工作更容易一些,我整理了一个信息高速公路上已经存在的工具列表,以帮助您有效地提取ioco等。
描述: IoC Parser是从PDF格式的安全报告中提取泄露指标的工具。
作者:帕洛阿尔托网络
语言: Python
为什么这个工具?:这是一个简单的python脚本,允许您输入输入文件格式以及输出(包括csv/json/yara/autofocus)。
描述: APTnotes是一个与恶意活动/活动/软件相关的公开论文和博客库(按年排序),这些恶意活动/活动/软件与厂商定义的APT(高级持续威胁)组和/或工具集相关。
语言: Python
为什么这个工具?:已有一个很棒的PDF格式APT报告库。这个工具与ioco -parser, iocextract和IOCextractor配合得非常好。
描述: EXTRACTOR对文本没有很强的假设,能够从非结构化文本中提取攻击行为作为来源图。我们的评估结果表明,EXTRACTOR可以从CTI报告中提取简明的来源图,并表明这些图可以成功地用于网络分析工具的威胁搜索。
语言: N /
为什么这个工具?: EXTRACTOR能够从非结构化文本中提取攻击行为作为来源图。
描述:该库从文本语料库中提取url、IP地址、MD5/SHA散列、电子邮件地址和YARA规则。它包括一些编码和“defanged”输出IoCs,并可选地解码/重新排列它们。
作者:审讯
语言: Python
为什么这个工具?iocextract非常擅长提取url,并特别演示了从tweet中提取不正确的url的值。您还可以快速“重新修改”url。
描述: IoC(妥协指示符)Extractor:一个帮助从文本文件中提取IoC的程序。总的目标是加快从非结构化或半结构化数据(如案例报告或安全公告)解析结构化数据(ioc)的过程。
语言: Python
为什么这个工具?:这个程序帮助从纯文本文件中提取妥协的指标。它目前识别MD5哈希,IPv4地址,域,url和电子邮件地址。
所以我提取了IoCs,现在怎么办?
我想给你们留一个最后的想法:臭名昭著的创造者金字塔的痛苦大卫·比安科(David Bianco)一直很明确自己设计这个概念的意图。
检测指标的全部意义在于对其做出响应,一旦您能够足够快速地对其做出响应,您就可以在对手攻击您时阻止他们使用这些指标。不过,并非所有的指标都是平等的,有些指标的价值远高于其他指标。——大卫·比安科
图片来源:David Bianco,《痛苦金字塔》
因此,当您在上述工具的帮助下提取指示符时,一定要参考David的工作,并确保它们帮助您检测对手的活动,以及这些ioco在金字塔上的确切位置。