Python 取证 - 妥协指标


妥协指标 (IOC) 被定义为“取证数据片段,其中包括系统日志条目或文件中发现的数据,可识别系统或网络上的潜在恶意活动。”

通过监控 IOC,组织可以检测攻击并迅速采取行动,以防止此类违规Behave的发生,或通过在早期阶段阻止攻击来限制损失。

有一些用例允许查询取证工件,例如 -

  • 通过MD5查找特定文件
  • 搜索实际存储在内存中的特定实体
  • 存储在 Windows 注册表中的特定条目或条目集

上述所有内容的组合为搜索工件提供了更好的结果。如上所述,Windows注册表为生成和维护IOC提供了一个完美的平台,这直接有助于计算取证。

方法

  • 查找文件系统中的位置,特别是现在查找 Windows 注册表中的位置。

  • 搜索由取证工具设计的一组文物。

  • 寻找任何不良活动的迹象。

调查生命周期

调查生命周期遵循 IOC,并在注册表中搜索特定条目。

  • 第 1 阶段:初始证据- 在主机或网络上检测到妥协的证据。响应人员将调查并确定确切的解决方案,这是一个具体的取证指标。

  • 第 2 阶段:为主机和网络创建 IOC - 收集数据后,创建 IOC,这可以通过 Windows 注册表轻松实现。OpenIOC 的灵活性为如何制作指标提供了无限数量的排列。

  • 第 3 阶段:在企业中部署 IOC - 创建指定的 IOC 后,调查人员将借助 Windows 寄存器中的 API 来部署这些技术。

  • 第 4 阶段:嫌疑人识别- IOC 的部署有助于以正常方式识别嫌疑人。甚至还将确定其他系统。

  • 第五阶段:收集和分析证据- 收集并分析针对嫌疑人的证据。

  • 第 6 阶段:完善和创建新的 IOC - 调查团队可以根据在企业中发现的证据和数据以及其他情报来创建新的 IOC,并继续完善其周期。

下图显示了调查生命周期的各个阶段 -

调查生命周期