Python Forensics - Indicadores de compromisso
Indicadores de comprometimento (IOC) são definidos como "pedaços de dados forenses, que incluem dados encontrados em entradas de log do sistema ou arquivos, que identificam atividades potencialmente maliciosas em um sistema ou rede."
Ao monitorar o IOC, as organizações podem detectar ataques e agir rapidamente para evitar que tais violações ocorram ou limitar os danos interrompendo os ataques em estágios anteriores.
Existem alguns casos de uso, que permitem consultar os artefatos forenses, como -
- Procurando um arquivo específico por MD5
- Procurando uma entidade específica, que está realmente armazenada na memória
- Entrada específica ou conjunto de entradas, que é armazenado no registro do Windows
A combinação de todos os itens acima fornece melhores resultados na pesquisa de artefatos. Como mencionado acima, o registro do Windows oferece uma plataforma perfeita na geração e manutenção do IOC, o que ajuda diretamente na análise forense computacional.
Metodologia
Procure os locais no sistema de arquivos e, especificamente, agora no registro do Windows.
Pesquise o conjunto de artefatos, que foram projetados por ferramentas forenses.
Procure sinais de atividades adversas.
Ciclo de vida investigativo
O Ciclo de Vida Investigativo segue o IOC e procura entradas específicas em um registro.
Stage 1: Initial Evidence- A evidência do comprometimento é detectada em um host ou na rede. Os respondentes irão investigar e identificar a solução exata, que é um indicador forense concreto.
Stage 2: Create IOCs for Host & Network- Após os dados coletados, é criado o IOC, o que é facilmente possível com o registro do Windows. A flexibilidade do OpenIOC fornece um número ilimitado de permutações sobre como um indicador pode ser criado.
Stage 3: Deploy IOCs in the Enterprise - Assim que o IOC especificado for criado, o investigador implantará essas tecnologias com a ajuda da API nos registros do Windows.
Stage 4: Identification of Suspects- A implantação do IOC auxilia na identificação de suspeitos de forma normal. Mesmo sistemas adicionais serão identificados.
Stage 5: Collect and Analyze Evidence - As provas contra os suspeitos são recolhidas e analisadas em conformidade.
Stage 6: Refine & Create New IOCs - A equipe investigativa pode criar novos IOCs com base em suas evidências e dados encontrados na empresa e inteligência adicional, e continuar a refinar seu ciclo.
A ilustração a seguir mostra as fases do Ciclo de Vida Investigativo -