Indicator of Compromise bilgisayar adli bilişimindeki bir ağda veya işletim sisteminde gözlemlenen ve bilgisayar müdahalesini gösteren çalışmalara verilen isimdir. Tipik IoC’ler, virüs imzaları, IP adresleri, kötü amaçlı yazılım dosyaları, MD5 hashleri, botnet komutları ve kontrol sunucularının URL’leri veya alan adlarında oluşur. IoC’ler, bir olay müdahalesi ve bilgisayar adli bilişimindeki süreci aracılığıyla tanımlandıktan sonra, saldırı tespit sistemleri ve antivirüs yazılımı kullanılarak gelecekteki saldırı girişimlerinin erken tespiti için kullanılabilirler. Güvenlik araştırmacıları, belirli bir kötü amaçlı yazılımın tekniklerini ve davranışlarını daha iyi analiz etmek için IoC’leri kullanır. IoC’ler ayrıca bir kuruluşun olay müdahalesini ve iyileştirme stratejilerini daha da iyileştirmek için topluluk içinde paylaşılabilen eyleme geçirilebilir tehdit istihbaratı sağlar. InfoSec uzmanları ve BT/Sistem yöneticileri de ihlalleri veya saldırıları önlemek olmasa da azaltmak için IoC’leri izleyen çeşitli araçlar kullanır. Bilgi güvenliği uzmanlarının ve sistem yöneticilerinin izlediği bazı IoC göstergeleri şunlardır:
• Olağandışı gerçekleşen ağ trafiği
• Sistemdeki bilinmeyen dosyalar, uygulamalar ve işlemler
• Yönetici veya ayrıcalıklı hesaplarda şüpheli etkinlik
• Veritabanı okuma hacmindeki artışlar
• HTML yanıt boyutları
• Aynı dosya için çok sayıda talep
• Uyumsuz bağlantı portu ve uygulama trafiği
• Şüpheli kayıt defteri veya sistem dosyası değişiklikleri
• Olağandışı DNS istekleri
• Beklenmedik sistem yamaları
• Mobil cihaz profil değişiklikleri
• Yanlış yerdeki veri paketleri
• İnsan kaynaklı olmayan web trafiği
• DDoS etkinlikleri
• Bir kuruluşun iş yapmadığı ülkelerdeki trafik gibi düzensiz etkinlikler
• Şüpheli oturum açma, erişim ve araştırma veya kaba kuvvet saldırılarını gösteren diğer ağ etkinlikleri
• Olmaması gereken yerlerde açıklanamayacak şekilde bulunan büyük miktarda sıkıştırılmış dosya ve
veri
IoC Linux Tools
– FIR(fast incident response tool): FIR, Django çerçevesinde yazılmış bir olay müdahale aracıdır.
Güvenlikle ilgili olayların oluşturulması ve yönetimi ile ilgilenmek için bir web arayüzü sağlar.
– rastrea2r (threat hunting for IoCs): Rastrea2r, IoC göstergeleri için bir tehdit yakalama aracıdır. Bu
çok platformlu açık kaynaklı araç, olay müdahale ekiplerinin ve SOC analistlerinin şüpheli sistemleri
önceliklendirmesine yardımcı olur. IoC için yakalamayı sadece birkaç dakika içinde gerçekleştirilebilir.
– TheHive (security incident response platform): Ölçeklenebilir güvenlik olaylarıyla başa çıkmak için
eşsiz bir platformdur. Benzer türdeki olayları karşılaştırır. MISP projesinin verilerini kullanabilir ve
buradan analize kolayca başlayabilir.
IoC Kaynakları
IoC analizinin ilk adımı, analiz edilecek göstergeleri elde etmektir. Analistler IoC’leri analiz ederken
tek bir kaynağa bağlı kalabilir. Fidye yazılımı gibi belirli bir tehdit türü için çeşitli kaynaklarda arama
yapabilir. Tehdit değişimleri, bilgi paylaşımı ve işbirliğinin olduğu açık ve ücretsiz topluluk
platformları IoC’ler için mükemmel bir kaynaktır. Başka bir IoC kaynağı sosyal medya Twitter’dır.
Yeni ve ilgili IoC’ler siber güvenlik uzmanları tarafından Twitter’da paylaşılır.
1. OTX (Open Threat Exchange):
AlienVault’un OTX’i, çok popüler bir tehdit bilgisi paylaşım ve analiz ağıdır. OTX, 140 ülkede günlük
19 milyondan fazla tehdit göstergesine katkıda bulunan 100.000’den fazla katılımcıyla küresel bir tehdit
araştırmacıları ve güvenlik uzmanları topluluğuna erişim sağlar. OTX, güvenlik topluluğundaki
herkesin en son tehdit verilerini, trendleri ve teknikleri aktif olarak tartışmasına, araştırmasına,
doğrulamasına ve paylaşmasına olanak tanır.
2. ThreatConnect Exchange:
ThreatConnect, kullanıcıların tehdit istihbaratı üzerinde işbirliği yapmalarına, sektör verilerini, belirli
tehdit türleri, kısa vadeli olaylar ve güvenlik açıkları etrafında kendi topluluklarını oluşturmalarına
olanak tanır. IoC’lerden dosya türlerine, düşmanlara, saldırılara ve hatta saldırıya uğrayan kurbanlar ve
kurban varlıklarına kadar birçok farklı veri türü oluşturmasına ve bunlara göz atmasına olanak tanır.
Platform ayrıca farklı yapay nesneler arasındaki ilişkileri görüntüler ve verilerinde birden çok arama ve
filtre işlevine izin verir.
3. MISP (Malware Information Sharing Platform):
MISP tehdit paylaşım platformu, hedeflenen saldırıların, tehdit istihbaratının, finansal dolandırıcılık
bilgilerinin, güvenlik açığı bilgilerinin ve hatta terörle mücadele bilgilerinin toplanması, paylaşılması,
depolanması ve ilişkilendirilmesi için ücretsiz ve açık kaynaklı bir bilgi platformudur. Yeni veri
eklendiğinde MISP korelasyon motorunu ve esnek veri modelini kullanarak diğer gözlemlenebilirler
göstergelerle ilişkileri anında ilişkilendirecektir. Bu korelasyonlar, her olay için bir korelasyon
grafiğinde görüntülenebilir.
4. IBM X-Force Exchange:
IBM X-Force Exchange, en son küresel güvenlik tehditlerini hızla araştırmak, eyleme geçirilebilir
istihbaratı toplamak, uzmanlara danışmak ve meslektaşlarla işbirliği yapmak için kullanabileceğiniz
bulut tabanlı bir tehdit istihbaratı paylaşım platformudur. İnsan ve makine tarafından üretilen
istihbaratla desteklenen IBM X-Force Exchange, kullanıcıların ortaya çıkan tehditlerin bir adım önünde
olmasına yardımcı olmak için IBM X-Force’un ölçeğinden yararlanıyor.
5. Twitter:
Twitter sosyal medya olması dışında güvenlik uzmanlarının bulunduğu yerdir. Yüzlerce güvenlik
analisti ve araştırmacısı, çoğu yeni kötü amaçlı yazılım çeşitleri, saldırı vektörleri ve güvenlik açıkları
olan en son bulgularını paylaşmak için her gün Twitter’a geliyor. Bu da platformu en yeni IoC’ler için
bir altın madeni haline getiriyor.
6. GitHub:
Açık kaynak kod paylaşım paylaşım platformu olarak kurulan GitHub birçok güvenlik araştırmacısının
gelmesiyle birlikte IoC’ler için kaynakların, listelerin ve araçların bulunduğu bir platform haline
gelmiştir.
Bazı GitHub IoC Kaynakları
• github.com/0x27/linux.mirai – Araştırma ve IoC geliştirme için sızan Linux.Mirai kaynak kodu
• github.com/Neo23x0/signature-base – Bazı tarayıcı aletleri için imza tabanları
• github.com/aptnotes/data – APTnotes verileri
• github.com/botherder/targetedthreats – Sivil toplumu hedefleyen tehditler ile ilgili IOC’ler
• github.com/circl/osint-feed – MISP için açık kaynak istihbaratı
• github.com/citizenlab/malware-indicators – Citizen Lab malware raporları
• github.com/eset/malware-ioc – Çeşitli araştırmaların IoC’leri
• github.com/fireeye/iocs – FireEye’ın paylaştığı IoC’ler
• github.com/jasonmiacono/IOCs – Tehdit istihbaratı için IoC’ler
• github.com/makflwana/IOCs-in-CSV-format – APT, siber suçlar, malware ve trojan için CSV
formatında IOC’ler
• github.com/nshc-threatrecon/IoC-List
• github.com/pan-unit42/iocs – 42 IoC
Bazı GitHub IoC Araçları
• github.com/InQuest/ThreatIngestor
• github.com/InQuest/iocextract
• github.com/Neo23x0/yarGen
• github.com/mandiant/ioc_writer
• github.com/yahoo/PyIOCe
• github.com/ninoseki/mitaka
Kaynakça:
https://www.wikiwand.com/en/Indicator_of_compromise
https://www.trendmicro.com/vinfo/us/security/definition/indicators-of-compromise
https://digitalguardian.com/blog/what-are-indicators-compromise#:~:text=Indicators%20of%20compromise%20(IOCs)%20are,malware%20infections%2C%20or%20other%20threat
https://linuxsecurity.expert/security-tools/ioc-tools
https://github.com/sroberts/awesome-iocs
https://blog.threatstop.com/threat-exchanges-ioc-sharing
 Nedir?){kind=link}