什么是IOC？應該如何識別和響應？

近期，Wireshark 大學和 虹科Allegro Packets聯合舉辦了網絡取證和入侵分析線上培訓課程，這是亞太地區的首次培訓，目的是為了幫助企業熟練運用Allegro流量分析儀和Wireshark，準確識別失陷指標（IoC）。還將有機會與前黑帽（Blackhat）取證調查員Phill Shade一同探討真實世界的網絡取證案例研究哦。

本文先與大家探討IOC的概念、類型、常見示例以及相關解決方案和工具，同時比較IOC與IOA的區別，并探討高級網絡和安全培訓的重要性

夏雨

資深網絡工程師

網絡工程師，專攻網絡通信，負責網絡流量監控的產品技術服務和售后服務，經驗豐富，響應迅速。

一、網絡安全中的IOC是什么

Indicators of Compromise（IOC），也被稱為失陷指標，經常用于取證調查場景，指的是網絡攻擊或安全漏洞導致的主機受損的證據，比如惡意文件哈希值，惡意軟件的特征，惡意的IP地址、URL、域名等被動識別的信標。這些指標是惡意行為者留下的有形線索或痕跡，有助于企業識別、分析、調查和修復網絡安全事件，使企業能夠迅速做出反應，減輕漏洞造成的影響。

二、IOC和IOA有什么區別

攻擊指標（IOA）和失陷指標（IOC）是網絡安全中很有價值的概念，但它們在側重點、時間范圍和使用方法上都有所不同。以下是 IOA 和 IOC 的主要區別：

側重點：IOA 重點關注攻擊者在持續網絡攻擊中使用的戰術、技術和程序 (TTP)。它們通過識別表明存在惡意活動的可疑行為或模式，幫助檢測正在發生或即將發生的攻擊。而 IOC 則側重于識別表明系統或網絡已被入侵的線索或證據。它們來自于觀察到的惡意活動，并提供識別成功入侵的信息。

時間范圍：IOA 通常在攻擊的早期階段使用，以檢測和應對正在發生的威脅。它們可幫助企業實時識別和緩解攻擊，從而實現主動防御。另一方面，IOC 在攻擊發生后使用。它們對于事件后調查和取證分析非常有價值，可以確定入侵的范圍、影響和根本原因。

使用方法：IOA 具有前瞻性，可幫助安全團隊根據已知的攻擊模式和技術識別潛在的威脅或攻擊。它們重點關注攻擊者的行為和活動，以便在攻擊得逞之前檢測和預防攻擊。而 IOC 是反應性的，用于在攻擊發生后識別是否存在漏洞。它們可幫助企業識別和應對安全事件，評估危害程度，并實施補救措施。

范圍：IOA 涵蓋更廣泛的潛在攻擊場景和技術。它們使用行為分析、異常檢測和啟發式方法來識別潛在的惡意活動。而 IOC 通?；谂c特定威脅或入侵相關的已知簽名、模式或工具。它們包括與已知惡意實體相關的特定文件哈希值、IP 地址、URL 或模式等指標。

總之，IOA 側重于通過識別正在進行的攻擊中的可疑行為和活動來檢測和預防攻擊，而 IOC 則用于通過分析入侵后留下的線索來追溯性地識別和調查安全事件。IOA 和 IOC 在增強組織的整體安全態勢和事件響應能力方面都發揮著至關重要的作用。

三、IOC有哪些類型

安全團隊依靠各種 IOC 來保護網絡和端點系統。各種來源以不同的方式對 IOC 進行分類。有一種方法是將其分為三大類：

基于網絡型。基于網絡的 IOC 包括異常流量模式或意外使用協議或端口等事件。例如，訪問某個特定網站的流量可能突然增加，或者與已知惡意的 URL、IP 地址或域的連接出現意外。

基于主機型。基于主機的 IOC 可揭示單個端點上的可疑行為。它們可能包括各種潛在威脅，包括未知進程、可疑哈希文件或其他類型的文件、系統設置或文件權限的更改，或文件名、擴展名或位置的更改?；谖募?IOC 有時與基于主機的 IOC 分開處理。

異常行為型。行為型 IOCs 反映的是整個網絡或計算機系統的行為，如反復嘗試登錄失敗或在不尋常的時間登錄，這一類別有時被納入其他類別。

通過使用各種類型的 IOC，安全團隊可以更有效地檢測和應對安全漏洞，并更積極地預防安全漏洞。

四、IOC 的常見示例有哪些

1、異常出站網絡流量

離開網絡的流量是 IT 團隊用來識別潛在問題的一個指標。如果出站流量模式可疑異常，IT 團隊可以密切關注，檢查是否有問題。由于這種流量來自網絡內部，因此通常最容易監控，如果立即采取行動，就能阻止多種威脅。

2、網絡釣魚電子郵件

網絡釣魚電子郵件是攻擊者獲取敏感信息或在受害者系統中安裝惡意軟件的一種常見方式。要識別這些電子郵件可能很困難，因為它們通?？雌饋硐袷莵碜钥尚艁碓吹暮戏?a href="http://www.qd573.com/v/tag/1301/" target="_blank">通信。但是，如果發現任何可疑的電子郵件，例如要求提供登錄憑據或指向陌生網站的鏈接，一定要謹慎并進一步調查。

3、特權用戶賬戶活動異常

特權用戶賬戶通?？梢栽L問網絡或應用程序的特殊或特別敏感的區域。因此，如果發現異常情況，就可以幫助 IT 團隊在攻擊過程中及早識別，從而避免造成重大損失。異常情況可能包括用戶試圖提升特定賬戶的權限，或使用該賬戶訪問其他擁有更多權限的賬戶。

4、地理位置異常

如果有來自本企業通常不與之開展業務的國家的登錄嘗試，這可能是潛在安全漏洞的跡象。這可能是其他國家的黑客試圖進入系統的證據。

5、其他登錄信號

當合法用戶嘗試登錄時，他們通常會在幾次嘗試后成功登錄。因此，如果現有用戶多次嘗試登錄，這可能表明有壞人試圖侵入系統。此外，如果用不存在的用戶賬戶登錄失敗，這可能表明有人在測試用戶賬戶，看其中一個賬戶是否能為他們提供非法訪問。

6、數據庫讀取量激增

當攻擊者試圖外泄數據時，他們的努力可能會導致讀取量膨脹。當攻擊者收集用戶信息并試圖提取時，就會出現這種情況。

7、HTML 響應大小

如果典型的超文本標記語言（HTML）響應大小相對較小，但注意到響應大小要大得多，這可能表明數據已被外泄。當數據傳輸給攻擊者時，大量數據會導致更大的 HTML 響應大小。

8、對同一文件的大量請求

黑客經常反復嘗試請求他們試圖竊取的文件。如果同一文件被多次請求，這可能表明黑客正在測試幾種不同的文件請求方式，希望找到一種有效的方式。

9、不匹配的端口應用流量

攻擊者在實施攻擊時可能會利用不明顯的端口。應用程序使用端口與網絡交換數據。如果使用的端口不正常，這可能表明攻擊者試圖通過應用程序滲透網絡或影響應用程序本身。

10、可疑的注冊表或系統文件更改

Windows 注冊表包含敏感信息，例如操作系統和應用程序的配置設置和選項。不斷修改注冊表可能表明攻擊者正在創建用于執行惡意代碼的系統。惡意軟件通常包含更改注冊表或系統文件的代碼。如果出現可疑更改，則可能是 IOC。建立基線可以更容易地發現攻擊者所做的更改。

11、DNS 請求異常

黑客經常使用命令與控制（C&C）服務器通過惡意軟件入侵網絡。C&C 服務器會發送命令以竊取數據、中斷網絡服務或用惡意軟件感染系統。如果域名系統 (DNS) 請求異常，特別是來自某個主機的請求，這可能就是 IOC。

此外，請求的地理位置可以幫助 IT 團隊發現潛在問題，尤其是當 DNS 請求異常國家或地區的合法用戶時。

12、未知軟件安裝

系統上突然出現未知的文件、服務、進程或應用程序，例如意外的軟件安裝。

五、IOC 解決方案和工具

企業需要制定強大的安全策略來有效識別和響應IOC，例如：

1、擴展檢測和響應 (XDR)平臺

XDR 使組織能夠收集、分析和關聯來自多個來源（包括 IoC）的安全數據，以檢測潛在威脅。

2、終端安全防護平臺

這些平臺允許安全團隊收集、搜索和執行針對 IoC 的規則。例如Morphisec ，它可識別并記錄 IOC，生成警報并生成報告，使安全團隊能夠及時采取行動。同時Morphisec也可以阻止繞過基于簽名或基于行為的檢測的最危險攻擊，補充并增強下一代防病毒和終端檢測與響應解決方案。

3、安裝自動檢查工具

反病毒和反惡意軟件工具可以幫助檢測和消除系統中被識別為 IoC 的惡意代理。不過，即使使用了先進的工具，也要記住零日攻擊（軟件、硬件和安全社區未知的新攻擊）可能不會被這些工具檢測到，并造成嚴重破壞。因此，不應完全依賴這些工具。

4、網絡流量監控和分析工具

這些工具例如wireshark、虹科Allegro流量分析儀可以捕獲和分析實時或歷史網絡流量，檢測異常的網絡流量模式，如大量的未經授權數據傳輸、異常的端口使用等，同時能夠幫助安全團隊深入分析網絡流量的協議，識別異?；虿徽５膮f議行為，例如未經授權的協議使用或變種協議。通過監控流量并檢查與已知惡意IP地址和域名的通信等等，這些工具可以幫助識別可能的IoC。

5、緊跟技術前沿趨勢和報告

從可靠的公開 IoC 信息源網站了解有關 IoC 的趨勢和報告。此外，公認的 IoC 的內部數據庫可以集成到監控工具和 SIEM 中。

Allegro 網絡萬用表是一款功能強大的實時網絡萬用表，用于檢測網絡問題。它測量從第 2 層到第 7 層的許多性能參數，用于故障排除和網絡分析。Allegro 徹底改變了網絡分析的市場，用移動設備分析大量的數據包，提供了一個結合以前解決方案優勢的調試工具。

艾體寶公司（itbigtec.com）是一家前瞻性的技術企業，專注于提供尖端的數據存儲、數據智能、全面的安全與合規性，以及高效的網絡監控與優化服務解決方案。我們的使命是通過技術創新，賦能企業在復雜的數字化轉型浪潮中實現卓越的運營。