近期，Wireshark 大學(xué)和 虹科Allegro Packets聯(lián)合舉辦了網(wǎng)絡(luò)取證和入侵分析線上培訓(xùn)課程，這是亞太地區(qū)的首次培訓(xùn)，目的是為了幫助企業(yè)熟練運用Allegro流量分析儀和Wireshark，準確識別失陷指標（IoC）。還將有機會與前黑帽（Blackhat）取證調(diào)查員Phill Shade一同探討真實世界的網(wǎng)絡(luò)取證案例研究哦。

本文先與大家探討IOC的概念、類型、常見示例以及相關(guān)解決方案和工具，同時比較IOC與IOA的區(qū)別，并探討高級網(wǎng)絡(luò)和安全培訓(xùn)的重要性

夏雨

資深網(wǎng)絡(luò)工程師

網(wǎng)絡(luò)工程師，專攻網(wǎng)絡(luò)通信，負責(zé)網(wǎng)絡(luò)流量監(jiān)控的產(chǎn)品技術(shù)服務(wù)和售后服務(wù)，經(jīng)驗豐富，響應(yīng)迅速。

一、網(wǎng)絡(luò)安全中的IOC是什么

Indicators of Compromise（IOC），也被稱為失陷指標，經(jīng)常用于取證調(diào)查場景，指的是網(wǎng)絡(luò)攻擊或安全漏洞導(dǎo)致的主機受損的證據(jù)，比如惡意文件哈希值，惡意軟件的特征，惡意的IP地址、URL、域名等被動識別的信標。這些指標是惡意行為者留下的有形線索或痕跡，有助于企業(yè)識別、分析、調(diào)查和修復(fù)網(wǎng)絡(luò)安全事件，使企業(yè)能夠迅速做出反應(yīng)，減輕漏洞造成的影響。

二、IOC和IOA有什么區(qū)別

攻擊指標（IOA）和失陷指標（IOC）是網(wǎng)絡(luò)安全中很有價值的概念，但它們在側(cè)重點、時間范圍和使用方法上都有所不同。以下是 IOA 和 IOC 的主要區(qū)別：

側(cè)重點：IOA 重點關(guān)注攻擊者在持續(xù)網(wǎng)絡(luò)攻擊中使用的戰(zhàn)術(shù)、技術(shù)和程序 (TTP)。它們通過識別表明存在惡意活動的可疑行為或模式，幫助檢測正在發(fā)生或即將發(fā)生的攻擊。而 IOC 則側(cè)重于識別表明系統(tǒng)或網(wǎng)絡(luò)已被入侵的線索或證據(jù)。它們來自于觀察到的惡意活動，并提供識別成功入侵的信息。

時間范圍：IOA 通常在攻擊的早期階段使用，以檢測和應(yīng)對正在發(fā)生的威脅。它們可幫助企業(yè)實時識別和緩解攻擊，從而實現(xiàn)主動防御。另一方面，IOC 在攻擊發(fā)生后使用。它們對于事件后調(diào)查和取證分析非常有價值，可以確定入侵的范圍、影響和根本原因。

使用方法：IOA 具有前瞻性，可幫助安全團隊根據(jù)已知的攻擊模式和技術(shù)識別潛在的威脅或攻擊。它們重點關(guān)注攻擊者的行為和活動，以便在攻擊得逞之前檢測和預(yù)防攻擊。而 IOC 是反應(yīng)性的，用于在攻擊發(fā)生后識別是否存在漏洞。它們可幫助企業(yè)識別和應(yīng)對安全事件，評估危害程度，并實施補救措施。

范圍：IOA 涵蓋更廣泛的潛在攻擊場景和技術(shù)。它們使用行為分析、異常檢測和啟發(fā)式方法來識別潛在的惡意活動。而 IOC 通常基于與特定威脅或入侵相關(guān)的已知簽名、模式或工具。它們包括與已知惡意實體相關(guān)的特定文件哈希值、IP 地址、URL 或模式等指標。

總之，IOA 側(cè)重于通過識別正在進行的攻擊中的可疑行為和活動來檢測和預(yù)防攻擊，而 IOC 則用于通過分析入侵后留下的線索來追溯性地識別和調(diào)查安全事件。IOA 和 IOC 在增強組織的整體安全態(tài)勢和事件響應(yīng)能力方面都發(fā)揮著至關(guān)重要的作用。

三、IOC有哪些類型

安全團隊依靠各種 IOC 來保護網(wǎng)絡(luò)和端點系統(tǒng)。各種來源以不同的方式對 IOC 進行分類。有一種方法是將其分為三大類：

基于網(wǎng)絡(luò)型。基于網(wǎng)絡(luò)的 IOC 包括異常流量模式或意外使用協(xié)議或端口等事件。例如，訪問某個特定網(wǎng)站的流量可能突然增加，或者與已知惡意的 URL、IP 地址或域的連接出現(xiàn)意外。

基于主機型。基于主機的 IOC 可揭示單個端點上的可疑行為。它們可能包括各種潛在威脅，包括未知進程、可疑哈希文件或其他類型的文件、系統(tǒng)設(shè)置或文件權(quán)限的更改，或文件名、擴展名或位置的更改。基于文件的 IOC 有時與基于主機的 IOC 分開處理。

異常行為型。行為型 IOCs 反映的是整個網(wǎng)絡(luò)或計算機系統(tǒng)的行為，如反復(fù)嘗試登錄失敗或在不尋常的時間登錄，這一類別有時被納入其他類別。

通過使用各種類型的 IOC，安全團隊可以更有效地檢測和應(yīng)對安全漏洞，并更積極地預(yù)防安全漏洞。

四、IOC 的常見示例有哪些

1、異常出站網(wǎng)絡(luò)流量

離開網(wǎng)絡(luò)的流量是 IT 團隊用來識別潛在問題的一個指標。如果出站流量模式可疑異常，IT 團隊可以密切關(guān)注，檢查是否有問題。由于這種流量來自網(wǎng)絡(luò)內(nèi)部，因此通常最容易監(jiān)控，如果立即采取行動，就能阻止多種威脅。

2、網(wǎng)絡(luò)釣魚電子郵件

網(wǎng)絡(luò)釣魚電子郵件是攻擊者獲取敏感信息或在受害者系統(tǒng)中安裝惡意軟件的一種常見方式。要識別這些電子郵件可能很困難，因為它們通常看起來像是來自可信來源的合法通信。但是，如果發(fā)現(xiàn)任何可疑的電子郵件，例如要求提供登錄憑據(jù)或指向陌生網(wǎng)站的鏈接，一定要謹慎并進一步調(diào)查。

3、特權(quán)用戶賬戶活動異常

特權(quán)用戶賬戶通常可以訪問網(wǎng)絡(luò)或應(yīng)用程序的特殊或特別敏感的區(qū)域。因此，如果發(fā)現(xiàn)異常情況，就可以幫助 IT 團隊在攻擊過程中及早識別，從而避免造成重大損失。異常情況可能包括用戶試圖提升特定賬戶的權(quán)限，或使用該賬戶訪問其他擁有更多權(quán)限的賬戶。

4、地理位置異常

如果有來自本企業(yè)通常不與之開展業(yè)務(wù)的國家的登錄嘗試，這可能是潛在安全漏洞的跡象。這可能是其他國家的黑客試圖進入系統(tǒng)的證據(jù)。

5、其他登錄信號

當(dāng)合法用戶嘗試登錄時，他們通常會在幾次嘗試后成功登錄。因此，如果現(xiàn)有用戶多次嘗試登錄，這可能表明有壞人試圖侵入系統(tǒng)。此外，如果用不存在的用戶賬戶登錄失敗，這可能表明有人在測試用戶賬戶，看其中一個賬戶是否能為他們提供非法訪問。

6、數(shù)據(jù)庫讀取量激增

當(dāng)攻擊者試圖外泄數(shù)據(jù)時，他們的努力可能會導(dǎo)致讀取量膨脹。當(dāng)攻擊者收集用戶信息并試圖提取時，就會出現(xiàn)這種情況。

7、HTML 響應(yīng)大小

如果典型的超文本標記語言（HTML）響應(yīng)大小相對較小，但注意到響應(yīng)大小要大得多，這可能表明數(shù)據(jù)已被外泄。當(dāng)數(shù)據(jù)傳輸給攻擊者時，大量數(shù)據(jù)會導(dǎo)致更大的 HTML 響應(yīng)大小。

8、對同一文件的大量請求

黑客經(jīng)常反復(fù)嘗試請求他們試圖竊取的文件。如果同一文件被多次請求，這可能表明黑客正在測試幾種不同的文件請求方式，希望找到一種有效的方式。

9、不匹配的端口應(yīng)用流量

攻擊者在實施攻擊時可能會利用不明顯的端口。應(yīng)用程序使用端口與網(wǎng)絡(luò)交換數(shù)據(jù)。如果使用的端口不正常，這可能表明攻擊者試圖通過應(yīng)用程序滲透網(wǎng)絡(luò)或影響應(yīng)用程序本身。

10、可疑的注冊表或系統(tǒng)文件更改

Windows 注冊表包含敏感信息，例如操作系統(tǒng)和應(yīng)用程序的配置設(shè)置和選項。不斷修改注冊表可能表明攻擊者正在創(chuàng)建用于執(zhí)行惡意代碼的系統(tǒng)。惡意軟件通常包含更改注冊表或系統(tǒng)文件的代碼。如果出現(xiàn)可疑更改，則可能是 IOC。建立基線可以更容易地發(fā)現(xiàn)攻擊者所做的更改。

11、DNS 請求異常

黑客經(jīng)常使用命令與控制（C&C）服務(wù)器通過惡意軟件入侵網(wǎng)絡(luò)。C&C 服務(wù)器會發(fā)送命令以竊取數(shù)據(jù)、中斷網(wǎng)絡(luò)服務(wù)或用惡意軟件感染系統(tǒng)。如果域名系統(tǒng) (DNS) 請求異常，特別是來自某個主機的請求，這可能就是 IOC。

此外，請求的地理位置可以幫助 IT 團隊發(fā)現(xiàn)潛在問題，尤其是當(dāng) DNS 請求異常國家或地區(qū)的合法用戶時。

12、未知軟件安裝

系統(tǒng)上突然出現(xiàn)未知的文件、服務(wù)、進程或應(yīng)用程序，例如意外的軟件安裝。

五、IOC 解決方案和工具

企業(yè)需要制定強大的安全策略來有效識別和響應(yīng)IOC，例如：

1、擴展檢測和響應(yīng) (XDR)平臺

XDR 使組織能夠收集、分析和關(guān)聯(lián)來自多個來源（包括 IoC）的安全數(shù)據(jù)，以檢測潛在威脅。

2、終端安全防護平臺

這些平臺允許安全團隊收集、搜索和執(zhí)行針對 IoC 的規(guī)則。例如Morphisec ，它可識別并記錄 IOC，生成警報并生成報告，使安全團隊能夠及時采取行動。同時Morphisec也可以阻止繞過基于簽名或基于行為的檢測的最危險攻擊，補充并增強下一代防病毒和終端檢測與響應(yīng)解決方案。

3、安裝自動檢查工具

反病毒和反惡意軟件工具可以幫助檢測和消除系統(tǒng)中被識別為 IoC 的惡意代理。不過，即使使用了先進的工具，也要記住零日攻擊（軟件、硬件和安全社區(qū)未知的新攻擊）可能不會被這些工具檢測到，并造成嚴重破壞。因此，不應(yīng)完全依賴這些工具。

4、網(wǎng)絡(luò)流量監(jiān)控和分析工具

這些工具例如wireshark、虹科Allegro流量分析儀可以捕獲和分析實時或歷史網(wǎng)絡(luò)流量，檢測異常的網(wǎng)絡(luò)流量模式，如大量的未經(jīng)授權(quán)數(shù)據(jù)傳輸、異常的端口使用等，同時能夠幫助安全團隊深入分析網(wǎng)絡(luò)流量的協(xié)議，識別異常或不正常的協(xié)議行為，例如未經(jīng)授權(quán)的協(xié)議使用或變種協(xié)議。通過監(jiān)控流量并檢查與已知惡意IP地址和域名的通信等等，這些工具可以幫助識別可能的IoC。

5、緊跟技術(shù)前沿趨勢和報告

從可靠的公開 IoC 信息源網(wǎng)站了解有關(guān) IoC 的趨勢和報告。此外，公認的 IoC 的內(nèi)部數(shù)據(jù)庫可以集成到監(jiān)控工具和 SIEM 中。

Allegro 網(wǎng)絡(luò)萬用表是一款功能強大的實時網(wǎng)絡(luò)萬用表，用于檢測網(wǎng)絡(luò)問題。它測量從第 2 層到第 7 層的許多性能參數(shù)，用于故障排除和網(wǎng)絡(luò)分析。Allegro 徹底改變了網(wǎng)絡(luò)分析的市場，用移動設(shè)備分析大量的數(shù)據(jù)包，提供了一個結(jié)合以前解決方案優(yōu)勢的調(diào)試工具。

艾體寶公司（itbigtec.com）是一家前瞻性的技術(shù)企業(yè)，專注于提供尖端的數(shù)據(jù)存儲、數(shù)據(jù)智能、全面的安全與合規(guī)性，以及高效的網(wǎng)絡(luò)監(jiān)控與優(yōu)化服務(wù)解決方案。我們的使命是通過技術(shù)創(chuàng)新，賦能企業(yè)在復(fù)雜的數(shù)字化轉(zhuǎn)型浪潮中實現(xiàn)卓越的運營。