Python Forensics 简明教程
Python Forensics - Indicators of Compromise
入侵指标 (IOC) 被定义为“法医数据片段,包括系统日志条目或文件中发现的数据,这些数据标识出系统或网络上潜在的恶意活动”。
通过监控 IOC,组织可以检测到攻击并采取快速行动,防止此类入侵发生或通过在早期阶段阻止攻击来限制损害。
有些用例允许查询法医制品,例如:
-
通过 MD5 查找特定文件
-
搜索实际存储在内存中的特定实体
-
Windows 注册表中存储的特定条目或条目集
以上所有内容的组合在搜索伪像时可提供更好的结果。如上所述,Windows 注册表提供了一个完美的平台来生成和维护 IOC,这直接有助于计算机取证。
Investigative Life Cycle
调查生命周期遵循 IOC 并搜索注册表中的特定条目。
-
Stage 1: Initial Evidence - 可以在主机或网络上检测到入侵的证据。响应者将调查并确定确切的解决方案,这是一种具体的法医指标。
-
Stage 2: Create IOCs for Host & Network - 根据收集的数据创建 IOC,这在 Windows 注册表中很容易实现。OpenIOC 的灵活性为如何制作指标提供了无限的排列。
-
Stage 3: Deploy IOCs in the Enterprise - 一旦创建了指定的 IOC,调查人员将借助 Windows 注册表中的 API 部署这些技术。
-
Stage 4: Identification of Suspects − IOC 的部署有助于以正常方式识别嫌疑人。甚至还会识别其他系统。
-
Stage 5: Collect and Analyze Evidence − 收集针对嫌疑人的证据并进行相应分析。
-
Stage 6: Refine & Create New IOCs − 调查团队可以根据他们在企业中发现的证据和数据创建新的 IOC,并进一步优化其循环。
下列插图展示了调查生命周期阶段 −