IoC (Indicators of Compromise, Индикаторы компрометации) — это наблюдаемые артефакты или данные, которые с высокой вероятностью указывают на взлом информационной системы, несанкционированный доступ или наличие вредоносной активности. IoC используются специалистами по безопасности для обнаружения атак, расследования инцидентов и настройки систем защиты на автоматическое блокирование известных угроз.
Возможности и типы индикаторов компрометации (IoC):
- Артефакты вредоносного ПО:
- Хэши файлов (MD5, SHA-1, SHA-256): Уникальные отпечатки вредоносных исполняемых файлов, скриптов, документов.
- Имена вредоносных файлов и пути их расположения в системе.
- Сетевые индикаторы:
- Подозрительные IP-адреса и доменные имена, связанные с C&C-серверами (Command and Control) или фишинговыми сайтами.
- URL-адреса, используемые для загрузки вредоносного ПО или эксплойтов.
- Артефакты системы и памяти:
- Ключи реестра, создаваемые или изменяемые вредоносным ПО для автозапуска.
- Имена подозрительных процессов, запущенных в памяти системы.
- Имена служб (сервисов), созданные злоумышленниками.
- Поведенческие индикаторы (более сложные для обнаружения):
- Аномальный исходящий сетевой трафик (например, соединения на нестандартные порты, большой объем данных, отправляемых за пределы сети).
- Необычная активность учетных записей пользователей (входы в нерабочее время, доступ к нехарактерным ресурсам, множественные неудачные попытки входа).
- Необъяснимые изменения в системных файлах или конфигурациях.
IoC являются основным «сырьем» для оперативной киберразведки (Threat Intelligence). Они постоянно обновляются и обмениваются между организациями через стандартные форматы (STIX). Современные системы безопасности (SIEM, EDR, IPS, брандмауэры) могут автоматически импортировать списки IoC (так называемые Threat Feeds) и блокировать связанную с ними активность в реальном времени. Важно понимать, что IoC часто имеют короткий срок жизни (особенно IP-адреса и домены), так как злоумышленники их меняют. Поэтому для обнаружения продвинутых атак (APT) одних IoC недостаточно — требуется анализ тактик, техник и процедур (TTPs) злоумышленников.
Упоминания
-
27 марта 2026
Четвертая конференция R-EVOlution пройдет в Москве 9 апреля
9 апреля 2026 года в Москве состоится четвертая ежегодная конференция R-EVOlution, посвященная вопросам оптимизации в ИТ и информационной безопасности. В... -
24 марта 2026
Паутина для хакера: российские компании увеличили инвестиции в «киберловушки»
Соблазнительные муляжи В России рынок решений класса DDP (англ. «Distributed Deception Platform», дословно переводится, как «распределенная платформа для обмана» -... -
18 марта 2026
R-Vision выпустил обновления R-Vision SIEM 2.62.7
Компания R-Vision выпустила обновления R-Vision SIEM версий 2.6 и 2.7. В продукте появились инструменты для управления исключениями в правилах корреляции,... -
18 марта 2026
Positive Technologies расширила функционал портала PT Fusion
Компания Positive Technologies представила версию 1.5 портала для работы с данными о киберугрозах PT Fusion. Как сообщили SecPost в компании,... -
20 февраля 2026
ФБР предупреждает о росте атак на банкоматы с помощью вредоноса Ploutus — опубликованы индикаторы компрометации
В 2025 году США потеряли более $20 млн из-за хищения денег из банкоматов. Как заявили в Федеральном бюро расследований США,... -
6 февраля 2026
Открытая публикация индикаторов компрометации несёт операционные риски
Публичное размещение деталей уязвимостей и индикаторов компрометации (IoC) может предоставлять злоумышленникам возможность анализировать эффективность своих инструментов и оперативно адаптировать методы... -
3 февраля 2026
Обнаружены новые цепочки заражения в атаке на Notepad++
В ходе кибератаки на цепочку поставок через компрометацию редактора Notepad++ использовались как минимум три различные цепочки заражения. Как рассказали SecPost...
