Solo para comprender cómo funcionan los indicadores de compromiso. Por ejemplo, en este artículo , la herramienta SMB. Hay un hash MD5 para ello. Entonces, ¿se supone que mis firewalls o IDS pueden detectar esta cadena de hash MD5? ¿Cómo van a verificar mis firewalls e IDS contra este hash MD5? Estoy un poco perdido en el concepto de indicadores de compromiso. gracias
Este hash MD5 es solo un hash criptográfico de un archivo, es decir, un identificador único del contenido del archivo. Puede calcular un hash MD5 único (más o menos) de cualquier archivo.
¿Qué tiene que ver con la seguridad? Verás, cuando tienes un archivo malicioso, puedes calcular su hash MD5 como con cualquier otro archivo. Luego, si obtiene este archivo malicioso en su sistema y calcula su hash, obtendrá exactamente el mismo hash MD5. ¿Qué significa esto? Significa que su software de seguridad puede escanear todo su sistema de archivos, calculando los hashes MD5 de cada archivo potencialmente peligroso y comparándolos con el hash del archivo malicioso. Si encuentra una coincidencia, eso significa problemas!
En su ejemplo, hay una lista de hashes MD5 de archivos peligrosos. Si el hash MD5 de cualquier archivo en su computadora coincide con uno de estos, probablemente esté jodido.
Esta es una técnica bastante básica de detección de malware, y se puede negar fácilmente cifrando el malware. Sin embargo, fue la mejor arma en el arsenal de la mayoría de los primeros antivirus.
Lea otras preguntas en las etiquetas system-compromise md5 incident-response