Учебники

Python Forensics — индикаторы компромисса

Индикаторы компромисса (IOC) определяются как «части криминалистических данных, которые включают данные, найденные в записях или файлах системного журнала, которые идентифицируют потенциально вредоносную деятельность в системе или сети».

Контролируя IOC, организации могут обнаруживать атаки и действовать быстро, чтобы предотвратить такие нарушения или ограничить ущерб, остановив атаки на более ранних стадиях.

Есть несколько вариантов использования, которые позволяют запрашивать судебные артефакты, такие как —

  • Ищем конкретный файл по MD5
  • Поиск конкретной сущности, которая фактически хранится в памяти
  • Конкретная запись или набор записей, которые хранятся в реестре Windows

Сочетание всего вышеперечисленного обеспечивает лучшие результаты при поиске артефактов. Как упоминалось выше, реестр Windows предоставляет идеальную платформу для генерации и поддержки IOC, что напрямую помогает в вычислительной экспертизе.

методология

  • Ищите места в файловой системе и, в частности, сейчас в реестре Windows.

  • Ищите набор артефактов, которые были разработаны с помощью инструментов судебной экспертизы.

  • Ищите признаки любых неблагоприятных действий.

Ищите места в файловой системе и, в частности, сейчас в реестре Windows.

Ищите набор артефактов, которые были разработаны с помощью инструментов судебной экспертизы.

Ищите признаки любых неблагоприятных действий.

Следственный жизненный цикл

Следственный жизненный цикл следует МОК и ищет конкретные записи в реестре.

  • Этап 1: начальное доказательство — доказательство компрометации обнаруживается либо на хосте, либо в сети. Ответчики будут расследовать и определить точное решение, которое является конкретным индикатором судебной экспертизы.

  • Этап 2. Создание IOC для хоста и сети. После собранных данных создается IOC, что легко сделать с помощью реестра Windows. Гибкость OpenIOC дает неограниченное количество вариантов того, как может быть создан индикатор.

  • Этап 3. Развертывание IOC на предприятии. После создания указанного IOC следователь развернет эти технологии с помощью API в регистрах Windows.

  • Этап 4: Идентификация подозреваемых . Развертывание МОК помогает идентифицировать подозреваемых обычным способом. Даже дополнительные системы будут определены.

  • Этап 5: сбор и анализ доказательств — доказательства против подозреваемых собираются и анализируются соответствующим образом.

  • Этап 6: уточнение и создание новых МОК . Исследовательская группа может создавать новые МОК на основе своих доказательств и данных, найденных на предприятии, а также дополнительных сведений и продолжать совершенствовать свой цикл.

Этап 1: начальное доказательство — доказательство компрометации обнаруживается либо на хосте, либо в сети. Ответчики будут расследовать и определить точное решение, которое является конкретным индикатором судебной экспертизы.

Этап 2. Создание IOC для хоста и сети. После собранных данных создается IOC, что легко сделать с помощью реестра Windows. Гибкость OpenIOC дает неограниченное количество вариантов того, как может быть создан индикатор.

Этап 3. Развертывание IOC на предприятии. После создания указанного IOC следователь развернет эти технологии с помощью API в регистрах Windows.

Этап 4: Идентификация подозреваемых . Развертывание МОК помогает идентифицировать подозреваемых обычным способом. Даже дополнительные системы будут определены.

Этап 5: сбор и анализ доказательств — доказательства против подозреваемых собираются и анализируются соответствующим образом.

Этап 6: уточнение и создание новых МОК . Исследовательская группа может создавать новые МОК на основе своих доказательств и данных, найденных на предприятии, а также дополнительных сведений и продолжать совершенствовать свой цикл.

На следующем рисунке показаны фазы исследовательского жизненного цикла —