Como su nombre indica, es un dato que surge como producto de la actividad del sistema y que aporta información sobre el comportamiento, característica o descripción de una amenaza. En este sentido, un indicador de compromiso (en adelante, IoC) funciona como una evidencia que permite confirmar que un equipo fue comprometido con un malware, pero también ofrece información potencial que puede ser utilizada para prevenir futuros ataques.
Los IoCs se basan en una tecnología estandarizada que busca definir las peculiaridades técnicas de una amenaza a través de evidencias existentes en un equipo comprometido, es decir, se identifican elementos como ficheros creados, entradas de registro alteradas, procesos o servicios nuevos, etcétera, para que puedan identificar otros sistemas afectados por la misma amenaza o prevenirlos de ella.
De esta forma, se realiza un intercambio de información con personas y grupos de gestión de incidentes posibilitando implementar las firmas en diferentes herramientas como:
- Sistemas de detección de intrusión (IDS).
- Sistemas de prevención de intrusión (IPS).
- Sistema de detección de intrusiones en un Host (HIDS).
- Sistema de prevención de intrusiones en un Host (HIPS).
- Firewalls (FW).
El valor de más importante de los IoC reside en este intercambio de información que permite crear y compartir conocimiento a partir de análisis forenses, respuesta a incidentes o análisis de malware. Los sistemas estandarizados de intercambio de este tipo de información más conocidos son los siguientes:
- Enumeración y caracterización de atributos de software malintencionado (MAEC).
- Cyber Observable eXpression (Cybox).
- Indicadores de compromiso abiertos (OpenIOC)
Por último, algunos ejemplos de IoC, son:
- Hashes: Una práctica muy estandarizada es generar de cada muestra un identificador único por medio de algoritmos de hashing. Este identificador (hash) es único y no existen dos muestras de malware con diferentes datos y con el mismo identificador. De esta manera, otras entidades pueden nutrirse de estos IoC para incorporarlos a sus sistemas y realizar sus propias investigaciones, lo cual a menudo aporta nuevos datos sobre una campaña que distribuye algún malware en particular.
- Tráfico de datos y direcciones IP: En ocasiones la actividad maliciosa se detecta en alguna red por medio del monitoreo de tráfico y sistemas de detección de intrusión. Estos movimientos de datos extraños junto con el acceso a páginas web inusuales son posibles indicadores de compromiso.
Por otro lado, cuando se analiza malware, se necesita saber cuál es la dirección IP del servidor Comando y Control (C&C) con el que se comunica. Estos servidores son utilizados por los atacantes con diferentes fines (entre otros, exfiltrar información del equipo comprometido o descargar troyanos). Por tanto, las respectivas direcciones IP de los servidores utilizadas para detectar posibles intentos de conexión a sitios maliciosos, son indicadores de compromiso.
Otra tarea del análisis de malware es la de comprender los cambios que realiza el código malicioso en el sistema y de qué forma lo manipula. Por ejemplo, el Registro de Windows es una base de datos que contiene los valores de configuración para el funcionamiento del sistema, programas y otros elementos que lo componen. Muchos programas maliciosos crean entrada en el registro para almacenar su propia configuración, poseyendo algunas entradas gran valor estratégico (AutoRuns).
A continuación, se cita una lista ilustrativa pero no exhaustiva de algunos tipos de IoC:
- Tráfico de red inusual hacia páginas web desconocidas, movimiento de grandes volúmenes de datos hacia páginas web, servidores externos, o entre equipos en la misma red.
- Cambios en la configuración del sistema, nuevas entradas en el registro que condicen con alguna actividad de actualización o instalación de programas legítimos.
- Actividad inusual que incrementa acceso al disco en ciertos procesos.
- Actividad sospechosa de la cuenta de administrador o de otros usuarios con privilegios, así como también cuentas no reconocidas o inicios de sesión sospechosos.
- Etc.
