Python 取证 - 危害指标
-
简述
危害指标 (IOC) 被定义为“取证数据,其中包括在系统日志条目或文件中发现的数据,用于识别系统或网络上的潜在恶意活动。”通过监控 IOC,组织可以检测攻击并迅速采取行动,通过在早期阶段阻止攻击来防止此类违规行为的发生或限制损害。有一些用例允许查询取证工件,例如 -- 通过 MD5 查找特定文件
- 搜索特定实体,该实体实际上存储在内存中
- 特定条目或条目集,存储在 Windows 注册表中
以上所有的组合在搜索工件时提供了更好的结果。如上所述,Windows 注册表为生成和维护 IOC 提供了一个完美的平台,这直接有助于计算取证。 -
方法
-
在文件系统中查找位置,特别是现在到 Windows 注册表中。
-
搜索由取证工具设计的工件集。
-
寻找任何不利活动的迹象。
-
-
调查生命周期
调查生命周期遵循 IOC,它在注册表中搜索特定条目。-
阶段 1: 初步的证据− 在主机或网络上检测到危害证据。响应者将调查并确定确切的解决方案,这是一个具体的取证指标。
-
阶段 2: 为主机和网络创建ioc− 根据收集的数据,创建 IOC,这可以通过 Windows 注册表轻松实现。OpenIOC 的灵活性为如何制作指标提供了无限数量的排列。
-
阶段 3: 在企业中部署ioc− 创建指定的 IOC 后,调查人员将借助 Windows 寄存器中的 API 部署这些技术。
-
阶段 4: 识别犯罪嫌疑人− IOC 的部署有助于以正常方式识别嫌疑人。甚至还会识别其他系统。
-
阶段 5: 收集和分析证据− 收集和分析针对嫌疑人的证据。
-
阶段 6: 提炼并创建新的IOCs− 调查团队可以根据他们在企业中发现的证据和数据以及额外的情报创建新的 IOC,并继续完善其周期。
下图显示了调查生命周期的各个阶段 -
-