Outline：

1. Instruduction
2. IOC & OpenIOC
3. IOC Functionality
4. OpenIOC對(duì)行為的描述
5. IOCs in the Investigative Lifecycle
6. OpenIOC Tools

一、OpenIOC背景介紹

在當(dāng)今的安全威脅環(huán)境下，為了應(yīng)對(duì)更加復(fù)雜的攻擊(如APT)，如何便捷地分享、交流安全情報(bào)成為針對(duì)特定目標(biāo)攻擊檢測(cè)、響應(yīng)和防止的關(guān)鍵問題。傳統(tǒng)地解決方案是先從主機(jī)或者網(wǎng)絡(luò)中收集威脅情報(bào)信息，然后采用特定的技術(shù)規(guī)范描述，形成書面的報(bào)告分發(fā)共享給其它相關(guān)人員。這種做法最明顯的問題是時(shí)間延遲非常高。因?yàn)榧词乖谝粋€(gè)組織內(nèi)部，情報(bào)共享的效率完全依賴于員工閱讀和分發(fā)報(bào)告的能力，每次消息的傳遞都在增加安全事件的響應(yīng)延遲。因此常見的情況是，當(dāng)組織開始對(duì)事件響應(yīng)時(shí)，所依據(jù)的信息往往已經(jīng)過時(shí)，而且攻擊早已在網(wǎng)絡(luò)中蔓延造成了損失。

基于此，MANDIANT公司基于多年的數(shù)字取證技術(shù)的積累，將使用多年的情報(bào)規(guī)范開源后形成OpenIOC(Open Indicator of Compromise)框架，作為現(xiàn)實(shí)可用的安全情報(bào)共享規(guī)范。OpenIOC本身是一個(gè)記錄、定義以及共享安全情報(bào)的格式，它可以幫助你借助機(jī)器可讀的形式實(shí)現(xiàn)不同類型威脅情報(bào)的快速共享。OpenIOC本身是開放、靈活的框架，因此你隨時(shí)可以根據(jù)發(fā)現(xiàn)添加新的情報(bào)，完善你的IOC(Indicator of Compromise)。

【關(guān)于MANDIANT】

該公司被眾人所知是從其發(fā)布報(bào)告稱中國(guó)RPC針對(duì)美國(guó)進(jìn)行APT攻擊開始。其具有以下幾個(gè)特點(diǎn)：

1. MANDIANT創(chuàng)始人系特工出身：Kevin Mandia于2004年創(chuàng)立該公司，目的是幫助企業(yè)偵測(cè)、快速反應(yīng)可能存在的網(wǎng)絡(luò)入侵。Kevin有20年的信息安全從業(yè)經(jīng)歷，曾工作與五角大樓第七通信部任計(jì)算機(jī)安全官員，之后又加入了美國(guó)空軍特別調(diào)查辦公室(AFOSI);

2. MANDIANT公司開在中情局附近，而大多數(shù)安全公司都是扎堆在西海岸;

3. MANDIANT是獲得FBI承認(rèn)的“具備參與執(zhí)法資格”的公司;

4. MANDIANT的業(yè)務(wù)主要是安全事件響應(yīng)，現(xiàn)已被FireEye收購;

二、IOC與OpenIOC

IOC(Indicator of Compromise)是MANDIANT在長(zhǎng)期的數(shù)字取證實(shí)踐中定義的可以反映主機(jī)或網(wǎng)絡(luò)行為的技術(shù)指示器;而OpenIOC是一套威脅情報(bào)共享的標(biāo)準(zhǔn)，通過遵循該標(biāo)準(zhǔn)，我們可以建立IOC的邏輯分組，實(shí)現(xiàn)威脅情報(bào)的交流共享，比如事件響應(yīng)團(tuán)隊(duì)可以使用OpenIOC的規(guī)范編寫多個(gè)IOCs來描述一個(gè)威脅的技術(shù)共性。

OpenIOC主要使用XML(Extensible Markup Language)來實(shí)現(xiàn)，XML語言提供了豐富、靈活的格式來將數(shù)據(jù)表示成可機(jī)讀的形式。通常在使用OpenIOC時(shí)會(huì)定義自己的指示器屬性表(Indicator Term Documens)，里面列出了要使用的諸多屬性，當(dāng)然也可以根據(jù)自己的需要添加新的屬性描述。

三、OpenIOC規(guī)范描述

OpenIOC通過XML來實(shí)現(xiàn)，每個(gè)IOC實(shí)質(zhì)都是一個(gè)復(fù)合指示器，通常我們會(huì)將多個(gè)Indicator組合到一起作為一個(gè)IOC(Indicator of Compromise)，最終在形式上IOC就是一個(gè)復(fù)合表達(dá)式，當(dāng)表達(dá)式值為真時(shí)的，則該IOC命中(如作為攻擊IOC，命中時(shí)表示該機(jī)器存在Compromise可能)。具體來說，我們需要明確一下幾個(gè)術(shù)語：

表達(dá)式(Expression):定義了一個(gè)條件，當(dāng)為真值時(shí)，表明存在一個(gè)入侵行為;

簡(jiǎn)單表達(dá)式(Simple Expression)：沒有使用AND或OR兩種邏輯運(yùn)算符的表達(dá)式;

復(fù)雜表達(dá)式(Complex Expression)：多個(gè)簡(jiǎn)單表達(dá)式通過AND或OR連接;

攻擊指示器(IOC)：多個(gè)表達(dá)式的連接，可以是簡(jiǎn)單表達(dá)式、復(fù)雜表達(dá)式;

如圖1-IOC Structure：

頂級(jí)邏輯為OR運(yùn)算，下層的每個(gè)邏輯運(yùn)算符AND或OR只作用于其子元素，如第一個(gè)AND運(yùn)算只作用于Registry Path: version和Registry Text: 5, 1, 3802, 0;

我們通過圖2和圖3來說明IOC表達(dá)式的實(shí)際含義：

圖2-Logic branch example：

每個(gè)表達(dá)式的條件有contains|contains not|is|is not四種;圖2從文件名、大小、編譯時(shí)間以及網(wǎng)絡(luò)DNS和服務(wù)名、DLL等方面對(duì)行為進(jìn)行了刻畫。

圖3-Indicator Expression：

上述IOC實(shí)際存儲(chǔ)在一個(gè)XML文件中，類型名為ioc，IOC的XML標(biāo)簽并不多，刻畫的細(xì)度主要通過設(shè)置不同的屬性(IndicatoreItem)來實(shí)現(xiàn)，通過模塊化的邏輯結(jié)構(gòu)，可以隨時(shí)根據(jù)獲得的信息和知識(shí)進(jìn)行IOC優(yōu)化調(diào)整。IOC用到的基本XML標(biāo)簽如下：

< ioc>：用于標(biāo)識(shí)一個(gè)IOC對(duì)象；
< definition>：用于定義具體的Indicator：
< Indicator>：用于包含多個(gè)IndicatorItem；
< IndicatorItem>：用于描述一個(gè)具體的屬性，其id值標(biāo)識(shí)該屬性，condition表明該表達(dá)式成立條件；
< Context>：用于定義屬性的大類和子類，標(biāo)記屬性名，如document="FileItem" search="FileItem/SizeInBytes", 最后的“mir”是MANDIANT Intelligence Response的縮寫；
< Content>：用于定義屬性值的類型以及屬性值，如type="int" ，大小為35343；

OpenIOC定義的XML標(biāo)簽主要就是以上幾種，其對(duì)行為的刻畫主要通過復(fù)雜豐富的IndicatorItem來體現(xiàn)，如圖5所示：

四、OpenIOC對(duì)行為的刻畫

OpenIOC對(duì)于行為的刻畫主要依靠其IndicatorItem來實(shí)現(xiàn)，基于其在數(shù)字取證領(lǐng)域的多年實(shí)踐，OpenIOC為我們提供了豐富、細(xì)化的行為描述屬性。

OpenIOC一共提供了27類屬性，分別是：

ArpEntryItem
CookieHistoryItem
DiskItem
DnsEntryItem
DriverItem
Email
EventLogItem
FileDownloadHistoryItem
FileItem
FormHistoryItem
HiveItem
HookItem
ModuleItem
Network
PortItem
PrefetchItem
ProcessItem
RegistryItem
SerivceItem
Snort
SystemInfoItem
SystemRestoreItem
TaskItem
UrlHistoryItem
UserItem
VolumItem

針對(duì)上述每個(gè)大類，又可以細(xì)分出諸多小屬性，比如以DiskItem為例，又細(xì)分為：

Disk Name
Disk Partition Length
Disk Partition Number
Disk Partition Offset
Disk Partition Type
Disk Size

更多詳細(xì)的屬性說明在其官方文檔中，除了列表中列出的屬性，OpenIOC還支持自定義該格式的屬性：

CommonIOCterms：http://openioc.org/terms/Common.iocterms

CurrentIOCterms：http://openioc.org/terms/Current.iocterms

五、IOC工作流程

MANDIANT主要在事件響應(yīng)與數(shù)字取證領(lǐng)域使用IOCs，主要分為以下幾個(gè)步驟：

獲取初始證據(jù)：根據(jù)主機(jī)或網(wǎng)絡(luò)的異常行為獲取最初的數(shù)據(jù);

建立主機(jī)或網(wǎng)絡(luò)的IOCs：分析初步獲得的數(shù)據(jù)，根據(jù)可能的技術(shù)特征建立IOCs;

在企業(yè)中部署IOCs：在企業(yè)的其它機(jī)器或網(wǎng)絡(luò)中部署IOCs，開始檢測(cè);

發(fā)現(xiàn)更多的可疑主機(jī);

IOCs優(yōu)化：通過初步檢測(cè)可獲取的新證據(jù)，并進(jìn)行分析，優(yōu)化已有的IOCs;

六、OpenIOC工具

MANDIANT已經(jīng)為OpenIOC開發(fā)了免費(fèi)的使用工具，主要是IOCeditor和Redline兩個(gè)工具。其中IOCeditor用來建立IOCs，而Redline負(fù)責(zé)將IOCs部署到HOST上收集信息后進(jìn)行分析。主要過程如下：

運(yùn)行Mandiant IOCe.exe，打開IOCeditor編輯器窗口，選擇要編輯的IOC文件或新建IOC文件;

為現(xiàn)有的IOC添加IndicatorItem;

設(shè)定表達(dá)式條件;

設(shè)定AND或OR運(yùn)算符;

保存成為.ioc文件;

接下來，需要將已經(jīng)保存的.ioc文件生成collector部署到目標(biāo)Host上，主要依靠Redline提供的IOCs部署功能：

首先運(yùn)行Redline.exe選擇“Create an IOC Search Collector”：

其次選擇已經(jīng)保存好的IOC文件，設(shè)定collector生成位置：

最后將生成的collector部署到目標(biāo)機(jī)器上，運(yùn)行腳本RunRedlineAudit.bat，完成后會(huì)在Sessions目錄中保存收集的數(shù)據(jù)，可以在Redline中打開中進(jìn)行分析;

七、小結(jié)

OpenIOC是一個(gè)開放靈活的安全情報(bào)共享框架，利用OpenIOC，重要的安全情報(bào)可以在多個(gè)組織間迅速傳遞，從而極大縮短檢測(cè)到響應(yīng)的時(shí)間延遲，提升緊急安全事件響應(yīng)與安全防范的能力。但是由于其發(fā)展自數(shù)字取證領(lǐng)域，因此分析基本基于硬盤鏡像的思想，即就系統(tǒng)的某一個(gè)時(shí)刻的狀態(tài)進(jìn)行分析

主要內(nèi)容才考OpenIOC的官方文檔：

AnIntroductiontoOpenIOC.pdf

IOCeUserGuide.pdf

ReadlinUserGuider.pdf

【資源列表】：

官方主頁：http://openioc.org/

開源的IOCWriter：https://github.com/mandiant/ioc_writer

IOCEditor Tool下載：https://www.fireeye.com/services/freeware/ioc-editor.html

Redline下載：https://www.fireeye.com/services/freeware/redline.html