IBM X-FORCE威胁情报季刊(2015Q4)-Part 2

入侵指示器

入侵指示器是计算机上表明网络安全已被破坏的证据。调查人员在常规操作、定期扫描和在网上发现可疑事件时通常会搜集这些数据。他们搜集信息，然后将这些数据用来制作更加智能化的检测、隔离可疑文件和阻断可疑通信的工具。

让我们来看看到底什么是IOCs，同时，学习一下如何运用它们在你的网络中检测异常。

异常跨境网络通信

脱离你网络范围的异常通信模式将会被一直调查，现代攻击技术让网络很难免遭毒手。但是跨境模式更容易检测。来自被破解服务器的命令与控制（C&C) 通信触手可及，允许受害者在数据丢失或损坏时作出反应。

特权用户帐户活动的异常

黑客经常尝试升级他们攻击的用户帐户。监控特权用户帐户的异常活动，不仅可以对可能存在的内部攻击进行监控，而且也可以显示被未授权资源接管的帐户，监视系统访问，访问的类型、数量和活动时间，在可能遭遇攻击之前发出预警。

地理位置方面的违规行为

违规登录能够为入侵提供证据。如果连接后不能正常工作，证明你们的保密数据已经被窃取。帐户在短时间内同时登陆多个IP时，记录并与位置标识配对能够为更加深入调查这一活动提供足够的证据。

其他登陆预警

账户多次显示登陆失败和账户不存在表明黑客尝试猜测证书，尤其是利用职工的用户名登陆，因为他们通常不会在工作时间之后登陆。那可能是黑客在尝试登录而不是职工。这对于调查来说是一个警示。

数据库读取量激增

如果攻击者破解了您的数据库存储，当数据泄露尤其是***数据泄露时，将造成读取量超出正常值的情况。

大体积的HTML响应

攻击者使用SQL把攻击文件注入你的数据库会造成比正常体积大的HTML响应。例如，一个大约200KB的查询却有20MB的响应，这就证明黑客已经成功执行了一个SQL攻击的注入并且盗取了整个***和用户帐户列表。

多次索要同一个文件

当攻击者在你的网络上找到一个有价值的目标时，例如，一个用PHP写的Web应用漏洞，他们尝试将多个攻击字符串集中在一个特定的文件。如果你检测到一个独立的资源对某一特定文件创建一个类似于“anyfilename.php,”得到高容量的请求，你应该立刻提高警惕。

和端口不匹配的应用业务

和端口应用不匹配的通信可能是伪装成正常应用行为的违法操作，如C&C 通信。

注册表莫名变更

恶意软件经常会通过修改注册表启动程序或存储操作数据使整个系统一直重新启动。恶意软件总是会创建一个空白的基线注册表快照和监视器来改变这个可以指示基于注册表的IOC模板。

DNS请求异常

域名服务（DNS）里一个对特定主机的大峰波请求可能表明存在某种恶意活动。观看DNS对外部主机请求的模式，反复对比他们的地理位置和主机信誉数据。给威胁情报工具设置适当过滤条件可以发现恶意软件与C&C基础设施间通信，由此帮助我们更有效的检测并减少恶意软件。

突然的系统修补

系统修补是网络上最普遍的事务之一，但是临界系统无规律的修补可能表明存在恶意活动。当攻击者入侵系统时，他们想确保没有其他人入侵这个系统，因此他们通过修补和强化系统以防止其他攻击者进入。

错位的数据集

在很多情况下，攻击者会在潜出前储存大量的破解数据。他们试图把数据藏在一个不寻常的地方，例如窗口回收站的根目录，或者是包含临时文件和缓存数据的 Linux目录下。

反常的网络流量

通过点击欺诈活动而遭受破坏的机器可以生成大量的网络流量，远远超过正常用户浏览器的用量。在企业网络中，用户必须使用规定的浏览器，通过查找使用不符合内部授权字符串的用户能够帮助我们鉴别恶意网络流量来源。

搜索入侵指示器

寻找IOCs可以使跟踪高级攻击者更容易。深度防御周期（见图四）为我们提供了路线图。根据具体情况执行这些步骤中的一些或者全部。

步骤一：文档攻击工具和方法

•配置并矫正网络流量模式。关注主要协议，特别是容易被攻击者所利用的协议，例如DNS和HTTPs。

•收集并检查日志文件条目。类似于日志管理和SIEM系统这类工具可以自动化操作并且可以提供数据模式可视化界面和检测可疑活动服务。

•利用元数据来寻找。

• 从分析恶意工具的公司购买IOC数据源，并保持数据更新。

步骤二：用丰富的智慧搜索攻击活动

配置安全防御工具，寻找攻击者在步骤一中所提及的活动，包括IOCs和不正常行为，这些防御工具在下列情况中可以起到包括阻断和警告在内的作用：

• 来自于可疑IP地址范围，或者是因为攻击而信誉不佳（IP信誉）的地区活动。

• 试图利用漏洞：在入侵提示模式下经常入侵防御系统（IPS)和端点安全系统将会发出警报，甚至可能识别特定漏洞和已知漏洞。

• 攻击者武器库中的知名Hashes工具：攻击者在受害者环境中立足以后要做的第一件事情就是上传他们的工具包，这样他们才能持续渗透公司的计算机。

• 在本地创建的新用户

• 被其他系统探测的用户名

步骤三 调查安全事件和评估入侵程度

• 从简单的入手：系统IP、DNS、用户、时间。确定受影响的系统或应用程序的数量和尝试访问该系统或应用的数量，还有攻击者已经完成的渗透程度。

• 建立一个时间轴来确定是否发生其他事件。检查所有文件的时间（日志，文件，注册表）；电子邮件和信息的通信内容；关于系统登陆和注销的信息；访问特殊网络文件和网址的记录；和陌生人在聊天室和其他工具上的通信内容。注意在查看时要阅读公司之前出台的政策，因为其中一些内容可能是受公司政策和当地法律保护（或两者都具备）的隐私。

• 文件销毁的证据。

• 搜索事件具体的IOCs ，例如在工作目录或特定主机和账户上的展示模式。使用现有的工具，如IOC Finder4，协助你的搜索。

步骤四：补救

识别：

• 被入侵的主机和用户帐户

• 有源（报警）和无源（监听）泄露信息

• 所有其他的接入点，如Web服务器，VPN和终端服务。

执行以下指令：

• 重置密码。

• 转移泄露信息

• 修补被入侵的系统漏洞

• 激活你的应急响应机制

• 坚持更新IOCs 以此确保修复策略是成功的

• 设置如果再次遭遇攻击将会报警的触发装置

IOC的创造艺术

IOCs的创造实践具有创新性。最好的IOCs具有下列性能：

• IOC根据它怀疑的特性可以捕获特定的攻击活动。例如，通过MD5 求和 (散表)、文件名、大小、创建日期和其他文件属性来搜索一个文件。寻找记忆中的特定实体（信息处理、运行服务信息）。搜索一个窗口注册表中的特定条目或分组。使用这些技术为不同组合提供了更好的匹配能力，而且比搜索单个假象更不易出错。

•IOC 是简单的，并且其评估信息易于收集和计算。

•如果不改变策略、工具或方法，攻击者是很难逃避IOC的。

创建有效的指示器

IOC不像其他的数据标准用来描述威胁信息，没有一个实例可以一对一映射一种威胁（如一种恶意软件）,也没有特定的数据标准用来描述它。一个名为“ OR filename =*.bat”的IOC 肯定能识别出很多文件，但是尽管它可以匹配系统中的每一个可执行文件，但是依旧是一个很差的指示器，会在运行时生成错误。更好的 IOCs实现了最佳的检测率使得失误率达到最小（一般情况下，在系统里发现的预警与入侵无关）。

以下是更加复杂的用法和各种技术组合变化的方法：

•除了在系统和网络中寻找特定的可疑文件之外，大量类似的可疑文件可以利用OpenIOC的逻辑关联找出来。即：利用开放的威胁情报框架对可疑文件与恶意软件和入侵工具建立联系。

• 除了寻找一个特定的已知错误文件，一个事件响应器还应该在目录下建立一个已知文件的白名单，然后捕捉一切不在名单里的文件。这种方法对于只有有限活动的系统是十分有效的且至关重要的，例如，销售点终端、工业控制系统和包含***数据、个人身份信息和其他敏感数据系统。

• 即使和最初的入侵无关，也要在文件系统、注册表或者是运行系统的其他部分查找那些黑客在入侵过程中常用的特定位置。

• 寻找入侵者使用工具或工具包遗留下的假象组，因为他们不会愿意花费时间精力对这些痕迹进行修改掩饰。

•寻找入侵者没有直接用来入侵但有非正常使用迹象的异常行为。

在实际案例中，IOCs 包含以上任何一个或者是所有类型的功能，你也可以只用一种。Open IOC的灵活性允许调查人员针对具体事件的调查结果来对IOCs功能进行拆分重组，而不需要重新写一个指示器。

IOC的分享和检测工具

威胁数据的快速传播使IOCs能迅速识别并且抵御黑客攻击。由于各家在搜集和储存基于IOC的威胁情报投入很大，因此您的网络安全专家可以利用几个新开发的免费工具或开源工具快速检测、覆盖并且修复计算机上的高级威胁。

• IBM X-Force

• OpenIOC

• IOC Bucket

• MISP

• Mandiant’s IOC Finder

• ESET IOC Repository

• TAXII

• Splunk SA-SPLICE

• CybOX

• GitHub (谷歌快速响应GRR，远程现场取证)

凭借IOCs的力量，你能够发现入侵者入侵安全防御时的痕迹。这也是利用先进技术预防高级威胁的最有效的方法之一。

--免责声明--

[原文：IBM X-FORCE威胁情报季刊(2015Q4)-Part 2  翻译 ：sobug  安全脉搏SP小编整理发布】