Криминалистика Python - индикаторы взлома

Индикаторы компрометации (IOC) определяются как «фрагменты данных судебной экспертизы, которые включают данные, обнаруженные в записях или файлах системного журнала, которые идентифицируют потенциально вредоносную активность в системе или сети».

Наблюдая за IOC, организации могут обнаруживать атаки и действовать быстро, чтобы предотвратить такие нарушения или ограничить ущерб, остановив атаки на более ранних этапах.

Есть несколько вариантов использования, которые позволяют запрашивать судебные артефакты, такие как -

  • Ищем конкретный файл по MD5
  • Поиск конкретной сущности, которая фактически хранится в памяти
  • Определенная запись или набор записей, которые хранятся в реестре Windows

Сочетание всего вышеперечисленного дает лучшие результаты при поиске артефактов. Как упоминалось выше, реестр Windows предоставляет идеальную платформу для создания и поддержки IOC, что напрямую помогает в вычислительной криминалистике.

Методология

  • Поищите места в файловой системе и, в частности, сейчас в реестре Windows.

  • Найдите набор артефактов, созданных с помощью инструментов криминалистики.

  • Обратите внимание на признаки любых неблагоприятных действий.

Жизненный цикл расследования

Investigative Life Cycle следует за IOC и ищет определенные записи в реестре.

  • Stage 1: Initial Evidence- Доказательства взлома обнаруживаются либо на хосте, либо в сети. Лица, отвечающие за реагирование, исследуют и определят точное решение, которое является конкретным показателем судебной экспертизы.

  • Stage 2: Create IOCs for Host & Network- На основе собранных данных создается IOC, что легко сделать с помощью реестра Windows. Гибкость OpenIOC дает неограниченное количество вариантов того, как можно создать индикатор.

  • Stage 3: Deploy IOCs in the Enterprise - После создания указанного IOC исследователь развернет эти технологии с помощью API в регистрах Windows.

  • Stage 4: Identification of Suspects- Размещение IOC помогает в идентификации подозреваемых в обычном порядке. Будут определены даже дополнительные системы.

  • Stage 5: Collect and Analyze Evidence - Доказательства против подозреваемых собираются и анализируются соответствующим образом.

  • Stage 6: Refine & Create New IOCs - Следственная группа может создавать новые IOC на основе своих доказательств и данных, найденных на предприятии, и дополнительных разведывательных данных, и продолжать уточнять свой цикл.

На следующем рисунке показаны фазы жизненного цикла расследования -