Python Forensics - Indicadores de compromiso

Los Indicadores de Compromiso (IOC) se definen como "piezas de datos forenses, que incluyen datos que se encuentran en las entradas o archivos del registro del sistema, que identifican la actividad potencialmente maliciosa en un sistema o red".

Al monitorear el IOC, las organizaciones pueden detectar ataques y actuar rápidamente para evitar que ocurran tales violaciones o limitar los daños al detener los ataques en etapas anteriores.

Hay algunos casos de uso, que permiten consultar los artefactos forenses como:

  • Buscando un archivo específico por MD5
  • Buscar una entidad específica, que en realidad está almacenada en la memoria.
  • Entrada específica o conjunto de entradas, que se almacena en el registro de Windows

La combinación de todo lo anterior proporciona mejores resultados en la búsqueda de artefactos. Como se mencionó anteriormente, el registro de Windows brinda una plataforma perfecta para generar y mantener IOC, lo que ayuda directamente en la informática forense.

Metodología

  • Busque las ubicaciones en el sistema de archivos y específicamente por ahora en el registro de Windows.

  • Busque el conjunto de artefactos, que han sido diseñados por herramientas forenses.

  • Busque los signos de cualquier actividad adversa.

Ciclo de vida investigativo

El ciclo de vida investigativo sigue al COI y busca entradas específicas en un registro.

  • Stage 1: Initial Evidence- La evidencia del compromiso se detecta en un host o en la red. Los socorristas investigarán e identificarán la solución exacta, que es un indicador forense concreto.

  • Stage 2: Create IOCs for Host & Network- Siguiendo los datos recopilados, se crea el IOC, que es fácilmente posible con el registro de Windows. La flexibilidad de OpenIOC ofrece un número ilimitado de permutaciones sobre cómo se puede diseñar un indicador.

  • Stage 3: Deploy IOCs in the Enterprise - Una vez que se ha creado el IOC especificado, el investigador desplegará estas tecnologías con la ayuda de API en los registros de Windows.

  • Stage 4: Identification of Suspects- El despliegue del COI ayuda a identificar a los sospechosos de forma normal. Incluso se identificarán sistemas adicionales.

  • Stage 5: Collect and Analyze Evidence - Las pruebas contra los sospechosos se recopilan y analizan en consecuencia.

  • Stage 6: Refine & Create New IOCs - El equipo de investigación puede crear nuevos IOC basados ​​en sus evidencias y datos encontrados en la empresa e inteligencia adicional, y continuar refinando su ciclo.

La siguiente ilustración muestra las fases del ciclo de vida investigativo: