IoC

18 декабря, 2025, 17:02

IoC (Indicators of Compromise, Индикаторы компрометации) — это наблюдаемые артефакты или данные, которые с высокой вероятностью указывают на взлом информационной системы, несанкционированный доступ или наличие вредоносной активности. IoC используются специалистами по безопасности для обнаружения атак, расследования инцидентов и настройки систем защиты на автоматическое блокирование известных угроз.

Возможности и типы индикаторов компрометации (IoC):

  • Артефакты вредоносного ПО:
    • Хэши файлов (MD5, SHA-1, SHA-256): Уникальные отпечатки вредоносных исполняемых файлов, скриптов, документов.
    • Имена вредоносных файлов и пути их расположения в системе.
  • Сетевые индикаторы:
    • Подозрительные IP-адреса и доменные имена, связанные с C&C-серверами (Command and Control) или фишинговыми сайтами.
    • URL-адреса, используемые для загрузки вредоносного ПО или эксплойтов.
  • Артефакты системы и памяти:
    • Ключи реестра, создаваемые или изменяемые вредоносным ПО для автозапуска.
    • Имена подозрительных процессов, запущенных в памяти системы.
    • Имена служб (сервисов), созданные злоумышленниками.
  • Поведенческие индикаторы (более сложные для обнаружения):
    • Аномальный исходящий сетевой трафик (например, соединения на нестандартные порты, большой объем данных, отправляемых за пределы сети).
    • Необычная активность учетных записей пользователей (входы в нерабочее время, доступ к нехарактерным ресурсам, множественные неудачные попытки входа).
    • Необъяснимые изменения в системных файлах или конфигурациях.

IoC являются основным «сырьем» для оперативной киберразведки (Threat Intelligence). Они постоянно обновляются и обмениваются между организациями через стандартные форматы (STIX). Современные системы безопасности (SIEM, EDR, IPS, брандмауэры) могут автоматически импортировать списки IoC (так называемые Threat Feeds) и блокировать связанную с ними активность в реальном времени. Важно понимать, что IoC часто имеют короткий срок жизни (особенно IP-адреса и домены), так как злоумышленники их меняют. Поэтому для обнаружения продвинутых атак (APT) одних IoC недостаточно — требуется анализ тактик, техник и процедур (TTPs) злоумышленников.

Продолжение ниже

Боссы российского кибербеза

Упоминания