زمان مطالعه : ۳ دقیقه

عبارت Indicators of Compromise که به‌اختصار در امنیت به آن IoC به آن گفته می‌شود، با کمک IoC می‌توان اطلاعاتی در رابطه با شواهد، رخداد و حملات امنیتی به‌منظور به‌دست آوردن بردار امنیتی یک سازمان جمع‌آوری کرد. مفهوم IoC در حوزه‌ی پیگیری جرائم رایانه‌ای (Forensic) کاربرد دارد زیرا با اطلاعات به‌دست‌آمده متخصصان امنیت سایبری، شبکه و فناوری اطلاعات که توسط Forensic Investigator ها مورد تجزیه‌وتحلیل قرارگرفته است، می‌توانند مدارک معتبری برای جمع‌آوری، شناسایی، پاسخ و اصلاح حفره و نقض در شبکه و نرم‌افزار به دلیل حملات امنیتی قبلاً رخ‌داده شده ارائه دهند، حتی سازمان‌ها می‌توانند استراتژی‌هایی برای جلوگیری از حملات آینده با کمک اطلاعات به‌دست‌آمده و رخدادها ایجاد کنند تا آمادگی خود را در مقابل حملات مشابهِ افزایش دهند.
اغلب Forensic Investigator ها پس از مطلع شدن از یک نقص یا رخداد امنیتی جمع‌آوری اطلاعات IoC را شروع می‌کنند و به همین دلیل می‌تواند شناسایی حملات بعدی و جلوگیری از آنها در نرم‌افزارها و محصولات امنیتی را انجام دهد.

  • نرم‌افزارهای امنیتی ضدویروس که از روش Digital Signature برای شناسایی و کشف یک ویروس یا بدافزار استفاده می‌کنند، این روش یک Indicators of Compromise (IoCs) است.
  • کاربرد دیگر Indicators of Compromise (IoCs) می‌تواند در تجزیه‌وتحلیل‌های Heuristic ها باشد.

دوره هکر اخلاقی و قانونمند CEH v11 نیز به صورت اختصار در مورد Indicators of Compromise (IoCs) صحبت می کند که ما آن را در آن بیان کرده ایم.

آنچه در این مطلب خواهید آموخت پنهان کردن
1 نحوه ایجاد و کار IoCs
2 مثال‌هایی از IoCs
3 تفاوت بین Indicator of Compromises (IoCs) و Indicators of Attack (IoAs)
3.1 نمونه‌هایی از Indicators of Attack (IoAs)

نحوه ایجاد و کار IoCs

با توضیحاتی که در ابتدای مقاله مطرح شد با مفهوم Indicators of Compromise (IoCs) آشنا شدیم.
حال می‌خواهیم نحوه ایجاد و کار Indicators of Compromise (IoCs) را درک کنیم.

همیشه هکرها و نویسندگان بدافزار و فایل‌های مخرب مثل malware ها سعی می‌کنند آن را طوری طراحی کنند که پس از اجرا هیچ ردپایی از خود نگذارند تا توسط متخصصین امنیت آن سازمان شناسایی نشوند، اما هر برنامه و فایلی که اجرا می‌شود دارای ردپاهایی در شبکه می‌باشد. کارشناسان و متخصصین حوزه امنیت و Forensic با کمک این ردپاها و سرنخ‌های باقی‌مانده در شبکه متوجه می‌شوند که آیا حمله یا نقص داده‌ای در شبکه رخ‌داده است؟

زمانی متوجه می‌شوند شرکت یا سازمان موردحمله سایبری قرارگرفته است با کمک اطلاعات جمع‌آوری‌شده توسط Indicators of Compromise (IoCs) سعی بر اقداماتی برای مقابله و پیگیری اتهامات کیفری مهاجم به وجود آورد، مهم‌تر همه آن‌ها می‌توان فهمید داده‌های سرقت رفته و شدت حمله‌ی سایبری توسط هکر چه مقدار بوده است. نرم‌افزارهای امنیتی با استفاده از همین ردپاهای شناسایی‌شده می‌توانند توانایی کشف و شناسایی حملات مختلف و بدافزارهایی چون Malware های مرتبط را به‌دست آورند.

مثال‌هایی از IoCs

چندین Indicators of Compromise (IoCs) در سازمان‌ها وجود دارد که متخصصین امنیت باید آن‌ها را بشناسند:

  • ترافیک غیرمعمول داخل و مخصوصاً خارج شبکه
  • فایل، برنامه و پردازش‌های ناشناخته و غیرمعمول در سیستم و سرورها
  • فعالیت‌های غیراستاندارد و مشکوک در حساب‌های کاربری با دسترسی بالا
  • ترافیک و فعالیت‌های نامنظم از کشورها و مناطقی که یک سازمان با آنها تجارت نمی‌کند
  • ورود، دسترسی و فعالیت‌های مشکوک به سیستم مهم و حساس شرکت و سازمان که نشان‌دهنده‌ی بررسی و حملات سایبری خطرناک است.
  • افزایش حجم درخواست و ترافیک‌های خواندن اطلاعات از پایگاه داده و پرونده‌های شرکت یا سازمان
  • بررسی ترافیک‌های پاسخگویی سرورهای وب
  • تعداد زیادی درخواست برای پرونده مشابه
  • ناهماهنگی در ترافیک‌های Port-Application
  • افزایش ترافیک شبکه در پورت‌های غیرمعمول
  • اضافه شدن رجیستری مشکوک یا تغییرات فایل سیستم
  • درخواست‌های غیرمعمول DNS
  • اضافه شدن آپدیت و Patch های غیراستاندارد و مخرب به سیستم و سرورها
  • تغییرات مشخصات و پروفایل دستگاه تلفن همراه
  • مجموعه‌ای از داده‌ها در مکان اشتباه
  • ترافیک وب با رفتار غیرانسانی و به‌صورت ربات
  • مشاهده و بررسی ترافیک‌های حملات DDoS

تفاوت بین Indicator of Compromises (IoCs) و Indicators of Attack (IoAs)

شاخص حمله (Indicator of Attack) به Indicators of Compromise (IoCs) مربوط است زیرابه تیم امنیت اطلاعات کمک می‌کند تا رخداد یا رویداد امنیتی را ارزیابی کنند. برخلاف IOC ها، IOA ها به‌صورت پیش‌فرض فعال هستند و بر شناسایی یک حمله سایبری که در حال انجام است تمرکز می‌کنند و می‌توانند انگیزه‌ی هکر را کشف کنند، درحالی‌که یک IOC فقط به سازمان و شرکت کمک می‌کند تا وقایع رخ‌داده را درک کند.

نمونه‌هایی از Indicators of Attack (IoAs)

نمونه‌هایی از Indicators of Attack (IoAs) را به‌صورت تیتر وار مطرح می‌کنیم تا با فعالیت‌هایی که Indicators of Attack (IoAs) انجام می‌دهد آشنا شوید:

  • Advance Persistence Threats
  • Remote Command Execution
  • DNS Tunneling
  • Fast Flux DNS
  • Beaconing Attempt
  • Post Scanning
  • Communication to Command and Control
  • Remote Code Execution
  • CnC Heartbeat Detection
  • Watering Hole Attack
  • Data Ex-filtration