Python Forensics - Indikator Kompromi

Indikator Kompromi (IOC) didefinisikan sebagai "potongan data forensik, yang mencakup data yang ditemukan dalam entri atau file log sistem, yang mengidentifikasi aktivitas yang berpotensi berbahaya pada sistem atau jaringan."

Dengan memantau IOC, organisasi dapat mendeteksi serangan dan bertindak cepat untuk mencegah pelanggaran semacam itu terjadi atau membatasi kerusakan dengan menghentikan serangan pada tahap sebelumnya.

Ada beberapa kasus penggunaan, yang memungkinkan kueri artefak forensik seperti -

  • Mencari file tertentu dengan MD5
  • Mencari entitas tertentu, yang sebenarnya disimpan di memori
  • Entri atau kumpulan entri tertentu, yang disimpan di registri Windows

Kombinasi semua hal di atas memberikan hasil yang lebih baik dalam menelusuri artefak. Seperti disebutkan di atas, registri Windows memberikan platform yang sempurna dalam menghasilkan dan memelihara IOC, yang secara langsung membantu dalam forensik komputasi.

Metodologi

  • Cari lokasi di sistem file dan khusus untuk sekarang ke dalam registri Windows.

  • Cari set artefak, yang telah dirancang oleh alat forensik.

  • Perhatikan tanda-tanda aktivitas yang merugikan.

Siklus Hidup Investigasi

Investigative Life Cycle mengikuti IOC dan mencari entri tertentu di registri.

  • Stage 1: Initial Evidence- Bukti penyusupan terdeteksi baik di host atau di jaringan. Responden akan menyelidiki dan mengidentifikasi solusi yang tepat, yang merupakan indikator forensik konkret.

  • Stage 2: Create IOCs for Host & Network- Mengikuti data yang dikumpulkan, IOC dibuat, yang dengan mudah dapat dilakukan dengan registri Windows. Fleksibilitas OpenIOC memberikan jumlah permutasi yang tidak terbatas tentang bagaimana Indikator dapat dibuat.

  • Stage 3: Deploy IOCs in the Enterprise - Setelah IOC yang ditentukan dibuat, penyelidik akan menyebarkan teknologi ini dengan bantuan API di register Windows.

  • Stage 4: Identification of Suspects- Penyebaran IOC membantu dalam mengidentifikasi tersangka dengan cara yang normal. Bahkan sistem tambahan akan diidentifikasi.

  • Stage 5: Collect and Analyze Evidence - Bukti-bukti yang memberatkan tersangka dikumpulkan dan dianalisis.

  • Stage 6: Refine & Create New IOCs - Tim investigasi dapat membuat IOC baru berdasarkan bukti dan data yang ditemukan di perusahaan dan intelijen tambahan, dan terus menyempurnakan siklusnya.

Ilustrasi berikut menunjukkan tahapan Investigative Life Cycle -