近期，Wireshark 大學(xué)和 虹科Allegro Packets聯(lián)合舉辦了網(wǎng)絡(luò)取證和入侵分析線(xiàn)上培訓(xùn)課程，這是亞太地區(qū)的首次培訓(xùn)，目的是為了幫助企業(yè)熟練運(yùn)用Allegro流量分析儀和Wireshark，準(zhǔn)確識(shí)別失陷指標(biāo)（IoC）。還將有機(jī)會(huì)與前黑帽（Blackhat）取證調(diào)查員Phill Shade一同探討真實(shí)世界的網(wǎng)絡(luò)取證案例研究哦。

本文先與大家探討IOC的概念、類(lèi)型、常見(jiàn)示例以及相關(guān)解決方案和工具，同時(shí)比較IOC與IOA的區(qū)別，并探討高級(jí)網(wǎng)絡(luò)和安全培訓(xùn)的重要性

夏雨

資深網(wǎng)絡(luò)工程師

網(wǎng)絡(luò)工程師，專(zhuān)攻網(wǎng)絡(luò)通信，負(fù)責(zé)網(wǎng)絡(luò)流量監(jiān)控的產(chǎn)品技術(shù)服務(wù)和售后服務(wù)，經(jīng)驗(yàn)豐富，響應(yīng)迅速。

一、網(wǎng)絡(luò)安全中的IOC是什么

Indicators of Compromise（IOC），也被稱(chēng)為失陷指標(biāo)，經(jīng)常用于取證調(diào)查場(chǎng)景，指的是網(wǎng)絡(luò)攻擊或安全漏洞導(dǎo)致的主機(jī)受損的證據(jù)，比如惡意文件哈希值，惡意軟件的特征，惡意的IP地址、URL、域名等被動(dòng)識(shí)別的信標(biāo)。這些指標(biāo)是惡意行為者留下的有形線(xiàn)索或痕跡，有助于企業(yè)識(shí)別、分析、調(diào)查和修復(fù)網(wǎng)絡(luò)安全事件，使企業(yè)能夠迅速做出反應(yīng)，減輕漏洞造成的影響。

二、IOC和IOA有什么區(qū)別

攻擊指標(biāo)（IOA）和失陷指標(biāo)（IOC）是網(wǎng)絡(luò)安全中很有價(jià)值的概念，但它們?cè)趥?cè)重點(diǎn)、時(shí)間范圍和使用方法上都有所不同。以下是 IOA 和 IOC 的主要區(qū)別：

側(cè)重點(diǎn)：IOA 重點(diǎn)關(guān)注攻擊者在持續(xù)網(wǎng)絡(luò)攻擊中使用的戰(zhàn)術(shù)、技術(shù)和程序 (TTP)。它們通過(guò)識(shí)別表明存在惡意活動(dòng)的可疑行為或模式，幫助檢測(cè)正在發(fā)生或即將發(fā)生的攻擊。而 IOC 則側(cè)重于識(shí)別表明系統(tǒng)或網(wǎng)絡(luò)已被入侵的線(xiàn)索或證據(jù)。它們來(lái)自于觀(guān)察到的惡意活動(dòng)，并提供識(shí)別成功入侵的信息。

時(shí)間范圍：IOA 通常在攻擊的早期階段使用，以檢測(cè)和應(yīng)對(duì)正在發(fā)生的威脅。它們可幫助企業(yè)實(shí)時(shí)識(shí)別和緩解攻擊，從而實(shí)現(xiàn)主動(dòng)防御。另一方面，IOC 在攻擊發(fā)生后使用。它們對(duì)于事件后調(diào)查和取證分析非常有價(jià)值，可以確定入侵的范圍、影響和根本原因。

使用方法：IOA 具有前瞻性，可幫助安全團(tuán)隊(duì)根據(jù)已知的攻擊模式和技術(shù)識(shí)別潛在的威脅或攻擊。它們重點(diǎn)關(guān)注攻擊者的行為和活動(dòng)，以便在攻擊得逞之前檢測(cè)和預(yù)防攻擊。而 IOC 是反應(yīng)性的，用于在攻擊發(fā)生后識(shí)別是否存在漏洞。它們可幫助企業(yè)識(shí)別和應(yīng)對(duì)安全事件，評(píng)估危害程度，并實(shí)施補(bǔ)救措施。

范圍：IOA 涵蓋更廣泛的潛在攻擊場(chǎng)景和技術(shù)。它們使用行為分析、異常檢測(cè)和啟發(fā)式方法來(lái)識(shí)別潛在的惡意活動(dòng)。而 IOC 通常基于與特定威脅或入侵相關(guān)的已知簽名、模式或工具。它們包括與已知惡意實(shí)體相關(guān)的特定文件哈希值、IP 地址、URL 或模式等指標(biāo)。

總之，IOA 側(cè)重于通過(guò)識(shí)別正在進(jìn)行的攻擊中的可疑行為和活動(dòng)來(lái)檢測(cè)和預(yù)防攻擊，而 IOC 則用于通過(guò)分析入侵后留下的線(xiàn)索來(lái)追溯性地識(shí)別和調(diào)查安全事件。IOA 和 IOC 在增強(qiáng)組織的整體安全態(tài)勢(shì)和事件響應(yīng)能力方面都發(fā)揮著至關(guān)重要的作用。

三、IOC有哪些類(lèi)型

安全團(tuán)隊(duì)依靠各種 IOC 來(lái)保護(hù)網(wǎng)絡(luò)和端點(diǎn)系統(tǒng)。各種來(lái)源以不同的方式對(duì) IOC 進(jìn)行分類(lèi)。有一種方法是將其分為三大類(lèi)：

基于網(wǎng)絡(luò)型。基于網(wǎng)絡(luò)的 IOC 包括異常流量模式或意外使用協(xié)議或端口等事件。例如，訪(fǎng)問(wèn)某個(gè)特定網(wǎng)站的流量可能突然增加，或者與已知惡意的 URL、IP 地址或域的連接出現(xiàn)意外。

基于主機(jī)型。基于主機(jī)的 IOC 可揭示單個(gè)端點(diǎn)上的可疑行為。它們可能包括各種潛在威脅，包括未知進(jìn)程、可疑哈希文件或其他類(lèi)型的文件、系統(tǒng)設(shè)置或文件權(quán)限的更改，或文件名、擴(kuò)展名或位置的更改?；谖募?IOC 有時(shí)與基于主機(jī)的 IOC 分開(kāi)處理。

異常行為型。行為型 IOCs 反映的是整個(gè)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)的行為，如反復(fù)嘗試登錄失敗或在不尋常的時(shí)間登錄，這一類(lèi)別有時(shí)被納入其他類(lèi)別。

通過(guò)使用各種類(lèi)型的 IOC，安全團(tuán)隊(duì)可以更有效地檢測(cè)和應(yīng)對(duì)安全漏洞，并更積極地預(yù)防安全漏洞。

四、IOC 的常見(jiàn)示例有哪些

1、異常出站網(wǎng)絡(luò)流量

離開(kāi)網(wǎng)絡(luò)的流量是 IT 團(tuán)隊(duì)用來(lái)識(shí)別潛在問(wèn)題的一個(gè)指標(biāo)。如果出站流量模式可疑異常，IT 團(tuán)隊(duì)可以密切關(guān)注，檢查是否有問(wèn)題。由于這種流量來(lái)自網(wǎng)絡(luò)內(nèi)部，因此通常最容易監(jiān)控，如果立即采取行動(dòng)，就能阻止多種威脅。

2、網(wǎng)絡(luò)釣魚(yú)電子郵件

網(wǎng)絡(luò)釣魚(yú)電子郵件是攻擊者獲取敏感信息或在受害者系統(tǒng)中安裝惡意軟件的一種常見(jiàn)方式。要識(shí)別這些電子郵件可能很困難，因?yàn)樗鼈兺ǔ？雌饋?lái)像是來(lái)自可信來(lái)源的合法通信。但是，如果發(fā)現(xiàn)任何可疑的電子郵件，例如要求提供登錄憑據(jù)或指向陌生網(wǎng)站的鏈接，一定要謹(jǐn)慎并進(jìn)一步調(diào)查。

3、特權(quán)用戶(hù)賬戶(hù)活動(dòng)異常

特權(quán)用戶(hù)賬戶(hù)通常可以訪(fǎng)問(wèn)網(wǎng)絡(luò)或應(yīng)用程序的特殊或特別敏感的區(qū)域。因此，如果發(fā)現(xiàn)異常情況，就可以幫助 IT 團(tuán)隊(duì)在攻擊過(guò)程中及早識(shí)別，從而避免造成重大損失。異常情況可能包括用戶(hù)試圖提升特定賬戶(hù)的權(quán)限，或使用該賬戶(hù)訪(fǎng)問(wèn)其他擁有更多權(quán)限的賬戶(hù)。

4、地理位置異常

如果有來(lái)自本企業(yè)通常不與之開(kāi)展業(yè)務(wù)的國(guó)家的登錄嘗試，這可能是潛在安全漏洞的跡象。這可能是其他國(guó)家的黑客試圖進(jìn)入系統(tǒng)的證據(jù)。

5、其他登錄信號(hào)

當(dāng)合法用戶(hù)嘗試登錄時(shí)，他們通常會(huì)在幾次嘗試后成功登錄。因此，如果現(xiàn)有用戶(hù)多次嘗試登錄，這可能表明有壞人試圖侵入系統(tǒng)。此外，如果用不存在的用戶(hù)賬戶(hù)登錄失敗，這可能表明有人在測(cè)試用戶(hù)賬戶(hù)，看其中一個(gè)賬戶(hù)是否能為他們提供非法訪(fǎng)問(wèn)。

6、數(shù)據(jù)庫(kù)讀取量激增

當(dāng)攻擊者試圖外泄數(shù)據(jù)時(shí)，他們的努力可能會(huì)導(dǎo)致讀取量膨脹。當(dāng)攻擊者收集用戶(hù)信息并試圖提取時(shí)，就會(huì)出現(xiàn)這種情況。

7、HTML 響應(yīng)大小

如果典型的超文本標(biāo)記語(yǔ)言（HTML）響應(yīng)大小相對(duì)較小，但注意到響應(yīng)大小要大得多，這可能表明數(shù)據(jù)已被外泄。當(dāng)數(shù)據(jù)傳輸給攻擊者時(shí)，大量數(shù)據(jù)會(huì)導(dǎo)致更大的 HTML 響應(yīng)大小。

8、對(duì)同一文件的大量請(qǐng)求

黑客經(jīng)常反復(fù)嘗試請(qǐng)求他們?cè)噲D竊取的文件。如果同一文件被多次請(qǐng)求，這可能表明黑客正在測(cè)試幾種不同的文件請(qǐng)求方式，希望找到一種有效的方式。

9、不匹配的端口應(yīng)用流量

攻擊者在實(shí)施攻擊時(shí)可能會(huì)利用不明顯的端口。應(yīng)用程序使用端口與網(wǎng)絡(luò)交換數(shù)據(jù)。如果使用的端口不正常，這可能表明攻擊者試圖通過(guò)應(yīng)用程序滲透網(wǎng)絡(luò)或影響應(yīng)用程序本身。

10、可疑的注冊(cè)表或系統(tǒng)文件更改

Windows 注冊(cè)表包含敏感信息，例如操作系統(tǒng)和應(yīng)用程序的配置設(shè)置和選項(xiàng)。不斷修改注冊(cè)表可能表明攻擊者正在創(chuàng)建用于執(zhí)行惡意代碼的系統(tǒng)。惡意軟件通常包含更改注冊(cè)表或系統(tǒng)文件的代碼。如果出現(xiàn)可疑更改，則可能是 IOC。建立基線(xiàn)可以更容易地發(fā)現(xiàn)攻擊者所做的更改。

11、DNS 請(qǐng)求異常

黑客經(jīng)常使用命令與控制（C&C）服務(wù)器通過(guò)惡意軟件入侵網(wǎng)絡(luò)。C&C 服務(wù)器會(huì)發(fā)送命令以竊取數(shù)據(jù)、中斷網(wǎng)絡(luò)服務(wù)或用惡意軟件感染系統(tǒng)。如果域名系統(tǒng) (DNS) 請(qǐng)求異常，特別是來(lái)自某個(gè)主機(jī)的請(qǐng)求，這可能就是 IOC。

此外，請(qǐng)求的地理位置可以幫助 IT 團(tuán)隊(duì)發(fā)現(xiàn)潛在問(wèn)題，尤其是當(dāng) DNS 請(qǐng)求異常國(guó)家或地區(qū)的合法用戶(hù)時(shí)。

12、未知軟件安裝

系統(tǒng)上突然出現(xiàn)未知的文件、服務(wù)、進(jìn)程或應(yīng)用程序，例如意外的軟件安裝。

五、IOC 解決方案和工具

企業(yè)需要制定強(qiáng)大的安全策略來(lái)有效識(shí)別和響應(yīng)IOC，例如：

1、擴(kuò)展檢測(cè)和響應(yīng) (XDR)平臺(tái)

XDR 使組織能夠收集、分析和關(guān)聯(lián)來(lái)自多個(gè)來(lái)源（包括 IoC）的安全數(shù)據(jù)，以檢測(cè)潛在威脅。

2、終端安全防護(hù)平臺(tái)

這些平臺(tái)允許安全團(tuán)隊(duì)收集、搜索和執(zhí)行針對(duì) IoC 的規(guī)則。例如Morphisec ，它可識(shí)別并記錄 IOC，生成警報(bào)并生成報(bào)告，使安全團(tuán)隊(duì)能夠及時(shí)采取行動(dòng)。同時(shí)Morphisec也可以阻止繞過(guò)基于簽名或基于行為的檢測(cè)的最危險(xiǎn)攻擊，補(bǔ)充并增強(qiáng)下一代防病毒和終端檢測(cè)與響應(yīng)解決方案。

3、安裝自動(dòng)檢查工具

反病毒和反惡意軟件工具可以幫助檢測(cè)和消除系統(tǒng)中被識(shí)別為 IoC 的惡意代理。不過(guò)，即使使用了先進(jìn)的工具，也要記住零日攻擊（軟件、硬件和安全社區(qū)未知的新攻擊）可能不會(huì)被這些工具檢測(cè)到，并造成嚴(yán)重破壞。因此，不應(yīng)完全依賴(lài)這些工具。

4、網(wǎng)絡(luò)流量監(jiān)控和分析工具

這些工具例如wireshark、虹科Allegro流量分析儀可以捕獲和分析實(shí)時(shí)或歷史網(wǎng)絡(luò)流量，檢測(cè)異常的網(wǎng)絡(luò)流量模式，如大量的未經(jīng)授權(quán)數(shù)據(jù)傳輸、異常的端口使用等，同時(shí)能夠幫助安全團(tuán)隊(duì)深入分析網(wǎng)絡(luò)流量的協(xié)議，識(shí)別異?；虿徽５膮f(xié)議行為，例如未經(jīng)授權(quán)的協(xié)議使用或變種協(xié)議。通過(guò)監(jiān)控流量并檢查與已知惡意IP地址和域名的通信等等，這些工具可以幫助識(shí)別可能的IoC。

5、緊跟技術(shù)前沿趨勢(shì)和報(bào)告

從可靠的公開(kāi) IoC 信息源網(wǎng)站了解有關(guān) IoC 的趨勢(shì)和報(bào)告。此外，公認(rèn)的 IoC 的內(nèi)部數(shù)據(jù)庫(kù)可以集成到監(jiān)控工具和 SIEM 中。

Allegro 網(wǎng)絡(luò)萬(wàn)用表是一款功能強(qiáng)大的實(shí)時(shí)網(wǎng)絡(luò)萬(wàn)用表，用于檢測(cè)網(wǎng)絡(luò)問(wèn)題。它測(cè)量從第 2 層到第 7 層的許多性能參數(shù)，用于故障排除和網(wǎng)絡(luò)分析。Allegro 徹底改變了網(wǎng)絡(luò)分析的市場(chǎng)，用移動(dòng)設(shè)備分析大量的數(shù)據(jù)包，提供了一個(gè)結(jié)合以前解決方案優(yōu)勢(shì)的調(diào)試工具。

艾體寶公司（itbigtec.com）是一家前瞻性的技術(shù)企業(yè)，專(zhuān)注于提供尖端的數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)智能、全面的安全與合規(guī)性，以及高效的網(wǎng)絡(luò)監(jiān)控與優(yōu)化服務(wù)解決方案。我們的使命是通過(guò)技術(shù)創(chuàng)新，賦能企業(yè)在復(fù)雜的數(shù)字化轉(zhuǎn)型浪潮中實(shí)現(xiàn)卓越的運(yùn)營(yíng)。