Spesso agli analisti di malware viene chiesto di correlare retroattivamente gli IoC. Gli IoC recentemente correlati sono tornati al codice cinese a partire dal 2002. Solo pochi mesi fa, abbiamo rilevato significativi IoC che legavano una comunità di minacce ai suoi predecessori a partire dal 2006. Senza la possibilità di tenere traccia di tutti questi IoC nel corso degli anni, ci sarebbe non è stata una correlazione.
Esistono anche modi per valutare gli IoC:
Livello 1: hash SHA2, ASN BGP, nomi host
Livello 2: hash MD5 + SHA1, prefissi IPv4 / IPv6
Livello 3: nomi Mutex, Imphashes
Livello 4: regole di Yara
Livello 5: somiglianze di file, classi o blocchi (ad es., Icewater, GCluster.py, TLSH o ssdeep fuzzy hash)
Livello 6: Apiscout e tecniche di analista di malware di livello principale
Il malware tende a bypassare tutto quanto sopra in modi diversi. Alcuni malware possono persino mentire o ignorare tutto quanto sopra, simultaneamente. Sicuramente vuoi scalare i tuoi IoC quando lavori contro lo spazio di quella minaccia. Tuttavia, ti consigliamo anche di prendere in considerazione fattori che i computer non possono scalare: l'elemento umano, la sorpresa e le indicazioni.
Forse intendi, per quanto tempo dovresti monitorare IoC sulla rete? O intendi in sweep attraverso una flotta?
Se stai cercando un modo per gestire gli IoC sulla rete, controlla il Bro Intelligence Framework . Per la gestione della flotta di oggetti IoC ci sono alcuni strumenti, come Viper per il database e la visualizzazione di IoC classici, YaraGuardian per l'organizzazione e la ricerca delle regole Yara, Timesketch a giocare con i dati, così come i modi di raccogliere risorse e dati di log di mining / monitoraggio.
Ci sono molti modi per approcciare la raccolta di artefatti e log, oltre a monitoraggio, analisi e sintesi. Mi piace il modo in cui questi professionisti delineano 3 approcci - link - in particolare attraverso i loro toolsets quali Automated Containment and Enrichment (ACE Server), Hunting ELK (HELK) e UpRoot. Vedrai le tecniche da questi set di strumenti in piattaforme commerciali, come Infocyte, Splunk Enterprise Security e Carbon Black Cb Response, rispettivamente. Se vuoi davvero scalare le scansioni di flotte di IoC, allora ACE Server, InfoCyte e forse anche gli strumenti PowerForensics o PowerShell Kansa sono i miei suggerimenti per il primo round.