Solo per capire come funzionano gli indicatori di compromesso. Prendi Ad esempio, in questo articolo, lo strumento SMB. C'è un hash MD5 per questo. Quindi i miei firewall o ID dovrebbero essere in grado di rilevare questa stringa di hash MD5? In che modo i miei firewall e IDS controllerebbero contro questo hash MD5? Sono un po 'perso sul concetto di indicatori di compromesso. grazie
Questo hash MD5 è solo un hash crittografico di un file, ovvero un identificativo univoco del contenuto del file. È possibile calcolare un hash MD5 (più o meno) univoco di qualsiasi file.
Che cosa ha a che fare con la sicurezza? Vedete, quando si dispone di un file dannoso, è possibile calcolare il suo hash MD5 come con qualsiasi altro file. Quindi, se si ottiene questo file dannoso nel proprio sistema e si calcola il suo hash, si otterrà esattamente lo stesso hash MD5. Cosa significa questo? Significa che il tuo software di sicurezza può eseguire la scansione dell'intero file system, calcolando gli hash MD5 di ogni singolo file potenzialmente pericoloso e confrontandoli con l'hash del file dannoso. Se trova una corrispondenza, significa guai!
Nel tuo esempio, c'è un elenco di hash MD5 di file pericolosi. Se l'hash MD5 di qualsiasi file sul tuo computer corrisponde a uno di questi, probabilmente sei fregato.
Questa è una tecnica di rilevamento del malware di base ed è facilmente neutralizzata dalla crittografia del malware. Tuttavia, è stata la migliore arma nell'arsenale della maggior parte dei primi antivirus.
Leggi altre domande sui tag system-compromise md5 incident-response