近期，Wireshark 大學和 虹科Allegro Packets聯(lián)合舉辦了網(wǎng)絡取證和入侵分析線上培訓課程，這是亞太地區(qū)的首次培訓，目的是為了幫助企業(yè)熟練運用Allegro流量分析儀和Wireshark，準確識別失陷指標（IoC）。還將有機會與前黑帽（Blackhat）取證調(diào)查員Phill Shade一同探討真實世界的網(wǎng)絡取證案例研究哦。

本文先與大家探討IOC的概念、類型、常見示例以及相關解決方案和工具，同時比較IOC與IOA的區(qū)別，并探討高級網(wǎng)絡和安全培訓的重要性

夏雨

資深網(wǎng)絡工程師

網(wǎng)絡工程師，專攻網(wǎng)絡通信，負責網(wǎng)絡流量監(jiān)控的產(chǎn)品技術服務和售后服務，經(jīng)驗豐富，響應迅速。

一、網(wǎng)絡安全中的IOC是什么

Indicators of Compromise（IOC），也被稱為失陷指標，經(jīng)常用于取證調(diào)查場景，指的是網(wǎng)絡攻擊或安全漏洞導致的主機受損的證據(jù)，比如惡意文件哈希值，惡意軟件的特征，惡意的IP地址、URL、域名等被動識別的信標。這些指標是惡意行為者留下的有形線索或痕跡，有助于企業(yè)識別、分析、調(diào)查和修復網(wǎng)絡安全事件，使企業(yè)能夠迅速做出反應，減輕漏洞造成的影響。

二、IOC和IOA有什么區(qū)別

攻擊指標（IOA）和失陷指標（IOC）是網(wǎng)絡安全中很有價值的概念，但它們在側(cè)重點、時間范圍和使用方法上都有所不同。以下是 IOA 和 IOC 的主要區(qū)別：

側(cè)重點：IOA 重點關注攻擊者在持續(xù)網(wǎng)絡攻擊中使用的戰(zhàn)術、技術和程序 (TTP)。它們通過識別表明存在惡意活動的可疑行為或模式，幫助檢測正在發(fā)生或即將發(fā)生的攻擊。而 IOC 則側(cè)重于識別表明系統(tǒng)或網(wǎng)絡已被入侵的線索或證據(jù)。它們來自于觀察到的惡意活動，并提供識別成功入侵的信息。

時間范圍：IOA 通常在攻擊的早期階段使用，以檢測和應對正在發(fā)生的威脅。它們可幫助企業(yè)實時識別和緩解攻擊，從而實現(xiàn)主動防御。另一方面，IOC 在攻擊發(fā)生后使用。它們對于事件后調(diào)查和取證分析非常有價值，可以確定入侵的范圍、影響和根本原因。

使用方法：IOA 具有前瞻性，可幫助安全團隊根據(jù)已知的攻擊模式和技術識別潛在的威脅或攻擊。它們重點關注攻擊者的行為和活動，以便在攻擊得逞之前檢測和預防攻擊。而 IOC 是反應性的，用于在攻擊發(fā)生后識別是否存在漏洞。它們可幫助企業(yè)識別和應對安全事件，評估危害程度，并實施補救措施。

范圍：IOA 涵蓋更廣泛的潛在攻擊場景和技術。它們使用行為分析、異常檢測和啟發(fā)式方法來識別潛在的惡意活動。而 IOC 通常基于與特定威脅或入侵相關的已知簽名、模式或工具。它們包括與已知惡意實體相關的特定文件哈希值、IP 地址、URL 或模式等指標。

總之，IOA 側(cè)重于通過識別正在進行的攻擊中的可疑行為和活動來檢測和預防攻擊，而 IOC 則用于通過分析入侵后留下的線索來追溯性地識別和調(diào)查安全事件。IOA 和 IOC 在增強組織的整體安全態(tài)勢和事件響應能力方面都發(fā)揮著至關重要的作用。

三、IOC有哪些類型

安全團隊依靠各種 IOC 來保護網(wǎng)絡和端點系統(tǒng)。各種來源以不同的方式對 IOC 進行分類。有一種方法是將其分為三大類：

基于網(wǎng)絡型。基于網(wǎng)絡的 IOC 包括異常流量模式或意外使用協(xié)議或端口等事件。例如，訪問某個特定網(wǎng)站的流量可能突然增加，或者與已知惡意的 URL、IP 地址或域的連接出現(xiàn)意外。

基于主機型。基于主機的 IOC 可揭示單個端點上的可疑行為。它們可能包括各種潛在威脅，包括未知進程、可疑哈希文件或其他類型的文件、系統(tǒng)設置或文件權(quán)限的更改，或文件名、擴展名或位置的更改。基于文件的 IOC 有時與基于主機的 IOC 分開處理。

異常行為型。行為型 IOCs 反映的是整個網(wǎng)絡或計算機系統(tǒng)的行為，如反復嘗試登錄失敗或在不尋常的時間登錄，這一類別有時被納入其他類別。

通過使用各種類型的 IOC，安全團隊可以更有效地檢測和應對安全漏洞，并更積極地預防安全漏洞。

四、IOC 的常見示例有哪些

1、異常出站網(wǎng)絡流量

離開網(wǎng)絡的流量是 IT 團隊用來識別潛在問題的一個指標。如果出站流量模式可疑異常，IT 團隊可以密切關注，檢查是否有問題。由于這種流量來自網(wǎng)絡內(nèi)部，因此通常最容易監(jiān)控，如果立即采取行動，就能阻止多種威脅。

2、網(wǎng)絡釣魚電子郵件

網(wǎng)絡釣魚電子郵件是攻擊者獲取敏感信息或在受害者系統(tǒng)中安裝惡意軟件的一種常見方式。要識別這些電子郵件可能很困難，因為它們通常看起來像是來自可信來源的合法通信。但是，如果發(fā)現(xiàn)任何可疑的電子郵件，例如要求提供登錄憑據(jù)或指向陌生網(wǎng)站的鏈接，一定要謹慎并進一步調(diào)查。

3、特權(quán)用戶賬戶活動異常

特權(quán)用戶賬戶通常可以訪問網(wǎng)絡或應用程序的特殊或特別敏感的區(qū)域。因此，如果發(fā)現(xiàn)異常情況，就可以幫助 IT 團隊在攻擊過程中及早識別，從而避免造成重大損失。異常情況可能包括用戶試圖提升特定賬戶的權(quán)限，或使用該賬戶訪問其他擁有更多權(quán)限的賬戶。

4、地理位置異常

如果有來自本企業(yè)通常不與之開展業(yè)務的國家的登錄嘗試，這可能是潛在安全漏洞的跡象。這可能是其他國家的黑客試圖進入系統(tǒng)的證據(jù)。

5、其他登錄信號

當合法用戶嘗試登錄時，他們通常會在幾次嘗試后成功登錄。因此，如果現(xiàn)有用戶多次嘗試登錄，這可能表明有壞人試圖侵入系統(tǒng)。此外，如果用不存在的用戶賬戶登錄失敗，這可能表明有人在測試用戶賬戶，看其中一個賬戶是否能為他們提供非法訪問。

6、數(shù)據(jù)庫讀取量激增

當攻擊者試圖外泄數(shù)據(jù)時，他們的努力可能會導致讀取量膨脹。當攻擊者收集用戶信息并試圖提取時，就會出現(xiàn)這種情況。

7、HTML 響應大小

如果典型的超文本標記語言（HTML）響應大小相對較小，但注意到響應大小要大得多，這可能表明數(shù)據(jù)已被外泄。當數(shù)據(jù)傳輸給攻擊者時，大量數(shù)據(jù)會導致更大的 HTML 響應大小。

8、對同一文件的大量請求

黑客經(jīng)常反復嘗試請求他們試圖竊取的文件。如果同一文件被多次請求，這可能表明黑客正在測試幾種不同的文件請求方式，希望找到一種有效的方式。

9、不匹配的端口應用流量

攻擊者在實施攻擊時可能會利用不明顯的端口。應用程序使用端口與網(wǎng)絡交換數(shù)據(jù)。如果使用的端口不正常，這可能表明攻擊者試圖通過應用程序滲透網(wǎng)絡或影響應用程序本身。

10、可疑的注冊表或系統(tǒng)文件更改

Windows 注冊表包含敏感信息，例如操作系統(tǒng)和應用程序的配置設置和選項。不斷修改注冊表可能表明攻擊者正在創(chuàng)建用于執(zhí)行惡意代碼的系統(tǒng)。惡意軟件通常包含更改注冊表或系統(tǒng)文件的代碼。如果出現(xiàn)可疑更改，則可能是 IOC。建立基線可以更容易地發(fā)現(xiàn)攻擊者所做的更改。

11、DNS 請求異常

黑客經(jīng)常使用命令與控制（C&C）服務器通過惡意軟件入侵網(wǎng)絡。C&C 服務器會發(fā)送命令以竊取數(shù)據(jù)、中斷網(wǎng)絡服務或用惡意軟件感染系統(tǒng)。如果域名系統(tǒng) (DNS) 請求異常，特別是來自某個主機的請求，這可能就是 IOC。

此外，請求的地理位置可以幫助 IT 團隊發(fā)現(xiàn)潛在問題，尤其是當 DNS 請求異常國家或地區(qū)的合法用戶時。

12、未知軟件安裝

系統(tǒng)上突然出現(xiàn)未知的文件、服務、進程或應用程序，例如意外的軟件安裝。

五、IOC 解決方案和工具

企業(yè)需要制定強大的安全策略來有效識別和響應IOC，例如：

1、擴展檢測和響應 (XDR)平臺

XDR 使組織能夠收集、分析和關聯(lián)來自多個來源（包括 IoC）的安全數(shù)據(jù)，以檢測潛在威脅。

2、終端安全防護平臺

這些平臺允許安全團隊收集、搜索和執(zhí)行針對 IoC 的規(guī)則。例如Morphisec ，它可識別并記錄 IOC，生成警報并生成報告，使安全團隊能夠及時采取行動。同時Morphisec也可以阻止繞過基于簽名或基于行為的檢測的最危險攻擊，補充并增強下一代防病毒和終端檢測與響應解決方案。

3、安裝自動檢查工具

反病毒和反惡意軟件工具可以幫助檢測和消除系統(tǒng)中被識別為 IoC 的惡意代理。不過，即使使用了先進的工具，也要記住零日攻擊（軟件、硬件和安全社區(qū)未知的新攻擊）可能不會被這些工具檢測到，并造成嚴重破壞。因此，不應完全依賴這些工具。

4、網(wǎng)絡流量監(jiān)控和分析工具

這些工具例如wireshark、虹科Allegro流量分析儀可以捕獲和分析實時或歷史網(wǎng)絡流量，檢測異常的網(wǎng)絡流量模式，如大量的未經(jīng)授權(quán)數(shù)據(jù)傳輸、異常的端口使用等，同時能夠幫助安全團隊深入分析網(wǎng)絡流量的協(xié)議，識別異常或不正常的協(xié)議行為，例如未經(jīng)授權(quán)的協(xié)議使用或變種協(xié)議。通過監(jiān)控流量并檢查與已知惡意IP地址和域名的通信等等，這些工具可以幫助識別可能的IoC。

5、緊跟技術前沿趨勢和報告

從可靠的公開 IoC 信息源網(wǎng)站了解有關 IoC 的趨勢和報告。此外，公認的 IoC 的內(nèi)部數(shù)據(jù)庫可以集成到監(jiān)控工具和 SIEM 中。

Allegro 網(wǎng)絡萬用表是一款功能強大的實時網(wǎng)絡萬用表，用于檢測網(wǎng)絡問題。它測量從第 2 層到第 7 層的許多性能參數(shù)，用于故障排除和網(wǎng)絡分析。Allegro 徹底改變了網(wǎng)絡分析的市場，用移動設備分析大量的數(shù)據(jù)包，提供了一個結(jié)合以前解決方案優(yōu)勢的調(diào)試工具。

艾體寶公司（itbigtec.com）是一家前瞻性的技術企業(yè)，專注于提供尖端的數(shù)據(jù)存儲、數(shù)據(jù)智能、全面的安全與合規(guī)性，以及高效的網(wǎng)絡監(jiān)控與優(yōu)化服務解決方案。我們的使命是通過技術創(chuàng)新，賦能企業(yè)在復雜的數(shù)字化轉(zhuǎn)型浪潮中實現(xiàn)卓越的運營。