IoC (Indicators of Compromise, Индикаторы компрометации) — это артефакты или данные, которые свидетельствуют о возможном взломе системы, кибератаке или вредоносной активности.
Ключевые характеристики IoC
- Используются для обнаружения уже произошедших или текущих атак.
- Могут быть как техническими, так и поведенческими.
- Применяются в системах SIEM, IDS/IPS, антивирусах и Threat Intelligence платформах.
Примеры IoC
- Хэши файлов (MD5, SHA-1, SHA-256) – вредоносные программы.
- IP-адреса и домены – C2-серверы (Command & Control).
- URL-адреса – фишинговые или заражённые сайты.
- Имена файлов и пути – подозрительные исполняемые файлы.
- Паттерны сетевого трафика – аномальные DNS-запросы.
- Ключи реестра – следы persistence-механизмов.
- Поведенческие аномалии – подозрительные действия пользователей.
Применение IoC
- Обнаружение угроз (Threat Detection) – поиск известных IoC в логах.
- Блокировка атак – добавление вредоносных IP в чёрные списки.
- Расследование инцидентов (Incident Response) – анализ компрометации.
Важно: IoC быстро устаревают (особенно в случае APT-групп), поэтому требуют регулярного обновления через Threat Intelligence.
