A menudo se pide a los analistas de malware que relacionen los IoC de forma retroactiva. Las IoC recientemente correlacionadas que volvieron al código chino desde 2002 en 2016. Hace solo unos meses, encontramos IoC significativas que vincularon una comunidad de amenazas a sus predecesoras desde 2006. Sin la capacidad de rastrear todas estas IoC a través de los años, habría No haber sido una correlación.
También hay formas de calificar IoC:
Nivel 1: hashes SHA2, ASN de BGP, nombres de host
Nivel 2: hashes MD5 + SHA1, prefijos IPv4 / IPv6
Nivel 3: Nombres Mutex, Imphashes
Nivel 4: Yara gobierna
Nivel 5: similitudes de archivos, clases o bloques (por ejemplo, Icewater, GCluster.py, TLSH o hashes difusos ssdeep)
Nivel 6: Técnicas de análisis de malware de nivel maestro y de Apiscout
El malware tiende a evitar todo lo anterior de diferentes maneras. Algunos programas maliciosos pueden incluso mentir u omitir todo lo anterior, simultáneamente. Definitivamente quieres escalar tus IoC cuando trabajas contra ese espacio de amenaza. Sin embargo, también querrá tener en cuenta los factores que las computadoras no pueden escalar: el elemento humano, la sorpresa y las indicaciones.
Quizás te refieres a cuánto tiempo debes monitorear los IoC en la red. ¿O te refieres a barrer en una flota?
Si está buscando una manera de administrar los IoC en la red, visite Bro Intelligence Framework . Para la gestión de flotas de IoC hay algunas herramientas, como Viper para la base de datos y ver los IoCs clásicos, YaraGuardian para organizar y buscar reglas de Yara, Timesketch para jugar con los datos, así como las formas de recopilar artefactos y extraer / monitorear datos de registro.
Hay muchas maneras de enfocar la colección de artefactos y registros, además del monitoreo, análisis y síntesis. Me gusta cómo estos profesionales describen 3 enfoques: - enlace , especialmente a través de sus conjuntos de herramientas como Contención y Enriquecimiento Automáticos (ACE Server), Hunting ELK (HELK) y UpRoot. Verá las técnicas de estos conjuntos de herramientas en plataformas comerciales, como Infocyte, Splunk Enterprise Security y Carbon Black Cb Response, respectivamente. Si realmente desea escalar los barridos de flota de IoC, el ACE Server, InfoCyte y quizás incluso las herramientas PowerForensics o PowerShell Kansa son mis sugerencias de primera ronda.