هل تبحث عن شيئ معين في المدونة ؟ اكتب الجملة أو الكلمة التي تريد البحث عنها، واضغط Enter
اضف تعليق

اكتب عن أمن المعلومات والتحقيق الجنائي الرقمي | مدونة شخصية

indicators of compromise مؤشرات الأختراق

مؤشرات الاختراق Indicators of Compromise والتي سوف اشير اليها في هذه التدوينة بـ IOC. هي عباره عن مؤشرات تدل على حدوث او وجود اختراق عن طريق وصف الاختراق بمجموعة من الصفات. هذه المؤشرات يتم الحصول عليها اثناء تحليل الأنظمة والتحقيق في عمليات الاختراق ويتم استخراجها الاجهزة التي تم استهدافها في الاختراق. يتم الاعتماد على هذه المعلومات لتوسيع نطاق البحث والتحليل الى العشرات من الاجهزه الاخرى الموجودة في الشبكه، خدمات Threat intelligence المقدمة من الشركات تعتمد بشكل كلي على هذه المؤشرات بحيث يتم مشاركتها بين مختصي امن المعلومات والشركات لتفادي الهجمات و الفيروسات التي تحمل الصفات المعينة المتعرف عليها سابقا او من خلال مقارنة هذه المؤشرات مع ما تم تخزينه سابقا من احداث الشبكة.

يجب ذكر بان IOC ليست تواقيع تقليديه signatures للملفات الخبيثة. وانما وصف دقيق يتعلق بكل معلومه يمكن الاستفادة منها لتفادي الهجوم او تحليله، لفهم اكثر سوف نتخذ السيناريو التالي

السيناريو : تم اختراق احد الشركات عن طريق تطبيق الويب بثغرة sql injection والوصول الى قاعدة البيانات، قام المهاجم بانشاء حساب بأسم mr.evil ومن ثم حصل على صلاحيات اعلى وقام بالانتشار الى الشبكة الداخليه واختراق اجهزه اكثر. بعد انتشار المهاجم قام بحقن malware في بعض الاجهزة التي تتصل بسيرفر لرفع الملفات C&C server. المهاجم ايضا قام بوضع malware يحمل الاسم vveoa.exe في بعض الأجهزة وتم جدولة بعض المهام لتشغيلها لاحقا تقوم بتشغيل هذا malware والذي هو بدوره يقوم بتنفيذ مجموعه من الاوامر يتم استقبالها من احد الدومينات.

من خلال السيناريو السابق يمكن استخراج العديد من IOC في حالة بدأ المحقق الجنائي بتحليل الحادثة، المؤشرات التي يمكن استخراجها كالتالي:

  • اسم المستخدم الذي تم أنشاؤه mr.evil
  • الهاشات الخاصة بكل malware مثل md5
  • اسم الملفات الخبيثة  vveoa.exe
  • المسار التي تم وضع فيه vveoa.exe
  • الدومينات التي لها علاقه بالهجوم
  • عنوان الايبي الخاص سيرفر التحكم C&C

هذه مجرد امثلة بسيطة جدا للتوضيح، في الحقيقه سوف تكون اكثر تعقيدا. يمكن الاعتماد على مؤشرات لها علاقة بسلوك الملف الخبيث مثل تغييرات في الرجستري او استخدام مجموعة من System calls  وما الى ذلك.

IOC تُقسم الى نوعين

  • Atomic IOC وهي المؤشرات التي تكون عباره عن معلومه واحده لا يمكن تفصيلها اكثر مثل عنوان الايميل ، عنوان ايبي ، اسم ملف
  • Computed IOC وهي المؤشرات التي يتم احتسابها مثل regular expressions او cryptographic hashes او عباره عن مجموعه من المؤشرات مع بعضها

ايضا يتم تقسيمها من حيث مصدرها الى Network based و Host based

جمع وانشاء IOC

في العادة IOC تتكون من metadata و definition، يحتوي metadata على وصف يخص rule واسم من قام بكتابتها وبعض المعلومات الاخرى، definition يحتوي على المعلومات التي توصف الفيروس والتي يتم الاعتماد عليها في عملية المقارنة اثناء البحث مثل الأمثلة في السيناريو السابق.

يتم كتابة هذه المؤشرات من خلال syntax معين مثل openioc ويتم تصديره كملف في الاغلب يكون xml. هذه الملفات يتم ارسالها من قبل الشركات التي تقدم الخدمات الخاصه بـ threat intillegence الى العملاء المشتركين في الخدمه على هيئة ملفات IOC احيانا يتم ارفاق تحليل كتقرير pdf. هناك الكثير من الادوات التي تساعد على كتابة هذه المؤشرات مثل IOC Editor من FireEye هناك مشروع جميل مفتوح المصدر لكتابة openioc format من خلال واجهة ويب  http://bluecloudws.github.io/ioceditor

عملياً يتم استغلال IOC على نطاق اوسع بحيث تقوم الشركات الكبيرة مثل FireEye ،Cisco ،AlienValut وغيرها من الشركات بعمل  IOC Repository يضم كل ما توصول اليه من مؤشرات بحيث يكون المرجع التي تعتمد عليه خدماتهم وتسمى ب IOC feeds. يتم تغذيه منتجات الحماية الموجودة في الشبكة بهذه المؤشرات وسوف يتم البحث عنها في كامل الشبكة والأجهزة. يوجد IOC Feeds مجانية ومفتوحه المصدر يمكن الاعتماد عليها ولكنها لن تكون دقيقه وحديثه مثل الخدمات المدفوعة. يمكن تغذية اداة RedLine بملف IOC وسوف تقوم بالبحث عن الوصف بشكل تلقائي، قمت بشرح الاداة بالتفصيل في فيديو في تدوينة سابقة.

لكي تكون لديك صورة واضحه جدا عن خدمات Threat intelligence شاهد الفيديو التالي والذي يستعرض فيه طريقة تحليل Malware في AMP Threat Grid المقدم من سيسكو والذي يضم ميزات Malware Analysis مع Threat intelligence

ايضا هذا الفيديو وهو عبارة عن Demo لمنتج Bromium الخاص بـ Threat Intelligence

في الفيديوهات السابقة تم استخدام فكرة مشاركة المعلومات الخاصة بالتحليلات وIOC في خدمات تحليل للفيروسات بحيث يتم معرفة اذا كان هناك من  ظهور للفيروس في مكان اخر والاستفادة من التحليل اذا تم عن طريق محلل اخر من شركه اخرى او عن طريق الشركة نفسها التي تقدم خدمة Threat intelligence.

تحديات IOC

  • الحصول على مصادر توفر IOC اغلب الشركات تقدم خدمات بسعر عال جدا. هناك بعض المصادر المفتوحه المصدر والتي يشارك فيها خبراء امن المعلومات ونشر تحليلاتهم
  • Consistency في طريقة كتابة IOC بحيث ان طريقة البحث عنها في الاجهزه سوف تعتمد على بنية الملف وكيف تم وصف الاختراق لذلك يجب ان يكون هناك syntax موحد
  • البحث عن في بيئات مختلفه من الانظمه

لا يمكن ابدا ذكر  IOC او malware analysis دون ذكر YARA يمكنك المشروع من وصف malwares عن طريق كتابة وصف لـ malware sample ومشاركته على هيئة rules. يوجد Repository خاص بمشروع Yara من خلال الرابط التالي https://github.com/Yara-Rules/rules

التعليقات مغلقة لهذا المقال.