إيه هي الـ IOCs؟ أنواعها؟ إيه فايدتها في الMalware Analysis؟ وايه علاقتها بالDetection Mechanisms؟
عندنا اكتر من Detection Mechanism بنستعملها في كشف العينات المتشابهة من الMalware بدايةً من الاداة اللي بتبحث عن hash او كلمة معينة في الملف، لحد الاداة اللي بتبحث بناءً على statistics و patterns معينة.
الDetection Mechanism ممكن تبقى:
-Signature based
-Behavioral based
-Reputation based
-Hybrid based
كلمة IOC اختصار ل Indicators of Compromise ومقصود بيها أي Forensic Data موجودة على Network او Host نقدر من خلالها نحدد الintrusion اللي حصل
بمعنى آخر؛ ال IOC عبارة عن الSignatures اللي بنلاقيها في الMalware بعد ما نخلص عملية الAnalysis وبتساعدنا في عمليات الDetection بعد كدة اننا نعرف العينات المتشابهة من الMalware، زي الhashes والip addresses والdomains وغيرهم
الIOCs تنقسم لنوعين؛ Network-based او Host-based
النوع الأول Network-based Indicators زي:
• IP Addresses
• URLs
• Domain Names
• Email Addresses
• Email Message Objects
• Email Attachments
• Certificate Hashes
2-النوع التاني Host-based Indicators زي:
• File Names
• File Hashes
• File Locations (paths)
• DLLs used
• Registry Keys
• Mutex Names
الSignature ممكن تحتوي على IOC واحدة او اكتر.. وطبعا كل ما زودنا عدد الIOCs الموجودة في الSignature هتكون دقتها أعلى وأحسن في الdetection وهتقلل عمليات الfalse-positive.
من احسن الtools اللي ممكن نستخدم فيها الIOCs هي Yara ودي بتساعد في تحديد وتصنيف الmalware samples، الاداة بيبقى ليها syntax بسيط بنكتب جواه الIOCs ووصفها ونقدر نستخرج بيها معلومات من الsamples ونقارنها ونحط شروط براحتنا... لو حابب تاخد فكرة عنها او تتعلمها هتلاقي الdocs بتاعتها هنا
فيه IOCs Scanners tools بيستخدمها الSOC Teams ووظيفتها انها تكشف وتجمع الIOCs من العينة او السيستم زي:
-Loki
بعضهم بيستخدم ال Yara Rules وتقدر تشوف كل اداة بنفسك وتجربها.
