什么是IOC？应该如何识别和响应？

近期，Wireshark大学和虹科AllegroPackets联合举办了网络取证和入侵分析线上培训课程，这是亚太地区的首次培训，目的是为了帮助企业熟练运用Allegro流量分析仪和Wireshark，准确识别失陷指标（IoC）。还将有机会与前黑帽（Blackhat）取证调查员PhillShade一同探讨真实世界的网络取证案例研究哦。

夏雨

资深网络工程师

网络工程师，专攻网络通信，负责网络流量监控的产品技术服务和售后服务，经验丰富，响应迅速。

一、网络安全中的IOC是什么

IndicatorsofCompromise（IOC），也被称为失陷指标，经常用于取证调查场景，指的是网络攻击或安全漏洞导致的主机受损的证据，比如恶意文件哈希值，恶意软件的特征，恶意的IP地址、URL、域名等被动识别的信标。这些指标是恶意行为者留下的有形线索或痕迹，有助于企业识别、分析、调查和修复网络安全事件，使企业能够迅速做出反应，减轻漏洞造成的影响。

二、IOC和IOA有什么区别

总之，IOA侧重于通过识别正在进行的攻击中的可疑行为和活动来检测和预防攻击，而IOC则用于通过分析入侵后留下的线索来追溯性地识别和调查安全事件。IOA和IOC在增强组织的整体安全态势和事件响应能力方面都发挥着至关重要的作用。

三、IOC有哪些类型

基于网络型。基于网络的IOC包括异常流量模式或意外使用协议或端口等事件。例如，访问某个特定网站的流量可能突然增加，或者与已知恶意的URL、IP地址或域的连接出现意外。

基于主机型。基于主机的IOC可揭示单个端点上的可疑行为。它们可能包括各种潜在威胁，包括未知进程、可疑哈希文件或其他类型的文件、系统设置或文件权限的更改，或文件名、扩展名或位置的更改。基于文件的IOC有时与基于主机的IOC分开处理。

通过使用各种类型的IOC，安全团队可以更有效地检测和应对安全漏洞，并更积极地预防安全漏洞。

四、IOC的常见示例有哪些

1、异常出站网络流量

2、网络钓鱼电子邮件

3、特权用户账户活动异常

特权用户账户通常可以访问网络或应用程序的特殊或特别敏感的区域。因此，如果发现异常情况，就可以帮助IT团队在攻击过程中及早识别，从而避免造成重大损失。异常情况可能包括用户试图提升特定账户的权限，或使用该账户访问其他拥有更多权限的账户。

4、地理位置异常

6、数据库读取量激增

当攻击者试图外泄数据时，他们的努力可能会导致读取量膨胀。当攻击者收集用户信息并试图提取时，就会出现这种情况。

7、HTML响应大小

如果典型的超文本标记语言（HTML）响应大小相对较小，但注意到响应大小要大得多，这可能表明数据已被外泄。当数据传输给攻击者时，大量数据会导致更大的HTML响应大小。

8、对同一文件的大量请求

黑客经常反复尝试请求他们试图窃取的文件。如果同一文件被多次请求，这可能表明黑客正在测试几种不同的文件请求方式，希望找到一种有效的方式。

9、不匹配的端口应用流量

攻击者在实施攻击时可能会利用不明显的端口。应用程序使用端口与网络交换数据。如果使用的端口不正常，这可能表明攻击者试图通过应用程序渗透网络或影响应用程序本身。

10、可疑的注册表或系统文件更改

Windows注册表包含敏感信息，例如操作系统和应用程序的配置设置和选项。不断修改注册表可能表明攻击者正在创建用于执行恶意代码的系统。恶意软件通常包含更改注册表或系统文件的代码。如果出现可疑更改，则可能是IOC。建立基线可以更容易地发现攻击者所做的更改。

11、DNS请求异常

黑客经常使用命令与控制（C&C）服务器通过恶意软件入侵网络。C&C服务器会发送命令以窃取数据、中断网络服务或用恶意软件感染系统。如果域名系统(DNS)请求异常，特别是来自某个主机的请求，这可能就是IOC。

此外，请求的地理位置可以帮助IT团队发现潜在问题，尤其是当DNS请求异常国家或地区的合法用户时。

12、未知软件安装

系统上突然出现未知的文件、服务、进程或应用程序，例如意外的软件安装。

五、IOC解决方案和工具

企业需要制定强大的安全策略来有效识别和响应IOC，例如：

1、扩展检测和响应(XDR)平台

2、终端安全防护平台

这些平台允许安全团队收集、搜索和执行针对IoC的规则。例如Morphisec，它可识别并记录IOC，生成警报并生成报告，使安全团队能够及时采取行动。同时Morphisec也可以阻止绕过基于签名或基于行为的检测的最危险攻击，补充并增强下一代防病毒和终端检测与响应解决方案。

3、安装自动检查工具

反病毒和反恶意软件工具可以帮助检测和消除系统中被识别为IoC的恶意代理。不过，即使使用了先进的工具，也要记住零日攻击（软件、硬件和安全社区未知的新攻击）可能不会被这些工具检测到，并造成严重破坏。因此，不应完全依赖这些工具。

4、网络流量监控和分析工具

5、紧跟技术前沿趋势和报告

从可靠的公开IoC信息源网站了解有关IoC的趋势和报告。此外，公认的IoC的内部数据库可以集成到监控工具和SIEM中。

Allegro网络万用表是一款功能强大的实时网络万用表，用于检测网络问题。它测量从第2层到第7层的许多性能参数，用于故障排除和网络分析。Allegro彻底改变了网络分析的市场，用移动设备分析大量的数据包，提供了一个结合以前解决方案优势的调试工具。

艾体宝公司（itbigtec.com）是一家前瞻性的技术企业，专注于提供尖端的数据存储、数据智能、全面的安全与合规性，以及高效的网络监控与优化服务解决方案。我们的使命是通过技术创新，赋能企业在复杂的数字化转型浪潮中实现卓越的运营。