Python Forensics 简明教程

Python Forensics - Indicators of Compromise

入侵指标 (IOC) 被定义为“法医数据片段,包括系统日志条目或文件中发现的数据,这些数据标识出系统或网络上潜在的恶意活动”。

通过监控 IOC,组织可以检测到攻击并采取快速行动,防止此类入侵发生或通过在早期阶段阻止攻击来限制损害。

有些用例允许查询法医制品,例如:

  1. 通过 MD5 查找特定文件

  2. 搜索实际存储在内存中的特定实体

  3. Windows 注册表中存储的特定条目或条目集

以上所有内容的组合在搜索伪像时可提供更好的结果。如上所述,Windows 注册表提供了一个完美的平台来生成和维护 IOC,这直接有助于计算机取证。

Methodology

  1. 查找文件系统中的位置,特别是现在针对 Windows 注册表的位置。

  2. 搜索由法医工具设计的伪像集合。

  3. 查找任何不良活动的迹象。

Investigative Life Cycle

调查生命周期遵循 IOC 并搜索注册表中的特定条目。

  1. Stage 1: Initial Evidence - 可以在主机或网络上检测到入侵的证据。响应者将调查并确定确切的解决方案,这是一种具体的法医指标。

  2. Stage 2: Create IOCs for Host & Network - 根据收集的数据创建 IOC,这在 Windows 注册表中很容易实现。OpenIOC 的灵活性为如何制作指标提供了无限的排列。

  3. Stage 3: Deploy IOCs in the Enterprise - 一旦创建了指定的 IOC,调查人员将借助 Windows 注册表中的 API 部署这些技术。

  4. Stage 4: Identification of Suspects − IOC 的部署有助于以正常方式识别嫌疑人。甚至还会识别其他系统。

  5. Stage 5: Collect and Analyze Evidence − 收集针对嫌疑人的证据并进行相应分析。

  6. Stage 6: Refine & Create New IOCs − 调查团队可以根据他们在企业中发现的证据和数据创建新的 IOC,并进一步优化其循环。

下列插图展示了调查生命周期阶段 −

investigative life cycle