Файловые индикаторы компрометации (IOC): детектирование, анализ и практическое применение

Файловые индикаторы компрометации (IOC)

Файловые индикаторы компрометации (File-based Indicators of Compromise, IOC) — это критические артефакты, используемые для выявления вредоносной активности в инфраструктуре. В отличие от сетевых IOC (IP-адреса, домены), файловые индикаторы включают хеши, названия, пути размещения и сигнатуры исполняемых файлов, скриптов и документов.

В этой статье разбираем:

  • Типы файловых IOC и их значение в расследовании инцидентов.
  • Методы сбора и валидации IOC.
  • Инструменты для работы с файловыми индикаторами.
  • Практические рекомендации.

Типы файловых индикаторов компрометации

Хеши файлов (Cryptographic Hashes)

Основные алгоритмы:

  • MD5 (устаревший, но всё ещё используется для быстрой проверки).
  • SHA-1/SHA-256 (стандарт для отчетов и баз IOC).

Пример:

Проблемы:

  • Хеши легко изменить через мутацию кода (полиморфные вирусы).
  • Ложные срабатывания на легитимных файлах (например, обновлениях ПО).

Сигнатуры (YARA Rules)

YARA — язык для описания шаблонов в файлах (строки, HEX-паттерны).

Пример правила для обнаружения Mimikatz:

Метаданные файлов

  • Время создания/модификации (аномалии в датах).
  • Цифровые подписи (поддельные сертификаты).
  • Пути размещения (например: C:\Windows\Temp\winsvc.exe).

Источники файловых IOC

Открытые базы данных

Полезное: Лучшие информационные потоки о киберугрозах (Threat Intelligence Feeds)

Закрытые источники

  • Коммерческие Threat Feeds (Recorded Future, FireEye, Kaspersky).
  • Анализ образцов малвари (сэндбоксы ANY.RUN, Hybrid Analysis).
  • Регуляторы (ФинЦЕРТ, ГосСОПКА, ФСТЭК).

Локальный сбор IOC

  • Логи антивирусов (ESET, Kaspersky, Trend Micro).
  • Поиск через SIEM (поиск аномальных файлов в логах).

Инструменты для работы с файловыми IOC

Анализ хешей

  • VirusTotal
  • HashCheck - проверка файлов против VirusTotal API.
  • PyWhat (https://github.com/bee-san/pyWhat) - автоматическая классификация хешей.

Генерация YARA-правил

  • YARA Generator
  • Loki — сканер на основе IOC.

Сэндбоксинг

Рекомендации по использованию IOC

Для SOC-аналитиков

  • Регулярно обновляйте базы IOC (раз в 24 часа).
  • Настройте автоматические алерты в SIEM при совпадении хешей.

Для Threat Hunting

  • Ищите скрытые файлы, к примеру в C:\Windows\Temp\ и реестре.
  • Анализируйте временные метки (например, создание в 3:00 AM).

Для IR-команд

  • Включайте файловые IOC в отчеты об инцидентах.
  • Используйте память (RAM) для поиска неустойчивых артефактов.

Полезное: Извлечение криминалистических артефактов из swap (файла подкачки) Linux

Заключение

Файловые IOC — ключевой элемент современной киберзащиты, но требуют комплексного подхода:

  • Комбинация хешей, YARA и метаданных.
  • Интеграция с Threat Intelligence.
  • Постоянная верификация для минимизации ложных срабатываний.

Готовы ли ваши системы к детектированию сложных файловых IOC? Делитесь кейсами в комментариях!

Комментарии: 0