【转】APT情报IOCs处理须知

xian_wwq

已于 2022-08-20 11:23:20 修改

阅读量1.8k

点赞数

分类专栏： APT 安全文章标签： IOCs

于 2022-08-20 10:49:48 首次发布

原文链接：https://blog.csdn.net/qq_43312649/article/details/114259154

版权

安全同时被 2 个专栏收录

68 篇文章 5 订阅

订阅专栏

APT

2 篇文章 1 订阅

订阅专栏

一、相关的概念

1. David Bianco 定义的痛苦金字塔（The Pyramid of Pain，简称PnP ）

David Bianco 发现业界众多跟随的分析报告以及厂商产品层面的响应，并没有有效地利用好这份报告的附录指标。因此，他提出了痛苦金字塔模型，用于对 IOCs 进行分类并描述各类 IOCs 在攻防对抗中的价值。

TTPs 处于痛苦金字塔塔尖。于攻击方，TTPs 反映了攻击者的行为，调整 TTPs 所需付出的时间和金钱成本也最为昂贵。于防守方，基于TTPs 的检测和响应可能给对手造成更多的痛苦，因此 TTPs 也是痛苦金字塔中对防守最有价值的一类 IOCs。但另一方面，这类 IOCs 更加难以识别和应用，由于大多数安全工具并不太适合利用它们，也意味着收集和应用 TTPs 到网络防御的难度系数是最高的。

2. TTPs

TTPs 即 Tactics, Techniques and Procedures（战术、技术以及步骤）的简称，指对手从踩点到数据泄漏以及两者间的每一步是“如何”完成任务的。

Harlan Carvey 的两篇博客《TTPs》与《Follow up on TTPs post》，写于 2014 年。这两篇文章基于痛苦金字塔对 TTPs 做了进一步讨论。

Ryan Stillions 的文章《On TTPs》，发表在 Harlan Carvey 两篇文章之后，与这次讨论也有相关性。文中严谨地分享了 TTPs 的原始定义，阐释这一起源于军方的概念如何应用于网络环境以及如何适用于检测和响应。他对 TTP 做了拆解定义和阐述，对于更好地理解痛苦金字塔是一个不错的补充。但毋庸置疑的是，痛苦金字塔是一个简洁、经典、同时可以衍生出诸多含义的威胁情报模型。

3.IOCs

Mandiant 在“指标”的基础上，于 2010 年正式定义了失陷指标（IOCs）。而“指标”这一术语则是由Kevin Mandia 不晚于他2003年的事件响应书籍定义，其后在检测环境中被广泛引入。（对应之前分享过的《Incident Response & Computer Forensics（第3版）》读书笔记6，书中定义：失陷指标（Indicators of Compromise，IOC）的生成，是以结构化的方式记录事件的特征和证物的过程。IOC包含从主机和网络角度的所有内容，而不仅仅是恶意软件。它可能是工作目录名、输出文件名、登录事件、持久性机制、IP地址、域名甚至是恶意软件网络协议签名。）
2010年1月25日第一份 M-trnds 报告中，针对IOC进行了描述：IOC不仅查找特定的文件和系统信息，还使用详细描述恶意活动的逻辑语句。

来源：https://www.jianshu.com/p/b3654b179277

另一个定义：

Indicator Of Compromise（陷落标识、失陷检测情报）即攻击者控制被害主机所使用的远程命令与控制服务器情报。

情报的IOC往往是域名、IP、URL形式（有时也会包括SSL证书、HASH等形式），这种IOC可以推送到不同的安全设备中，如NGFW、IPS、SIEM等，进行检测发现甚至实时阻截。这类情报基本上都会提供危害等级、攻击团伙、恶意家族等更丰富的上下文信息，来帮助确定事件优先级并指导后续安全响应活动。使用这类情报是及时发现已经渗透到组织APT团伙、木马蠕虫的最简单、及时、有效的方式。