Outline：

1. Instruduction
2. IOC & OpenIOC
3. IOC Functionality
4. OpenIOC對行為的描述
5. IOCs in the Investigative Lifecycle
6. OpenIOC Tools

一、OpenIOC背景介紹

在當(dāng)今的安全威脅環(huán)境下，為了應(yīng)對更加復(fù)雜的攻擊(如APT)，如何便捷地分享、交流安全情報(bào)成為針對特定目標(biāo)攻擊檢測、響應(yīng)和防止的關(guān)鍵問題。傳統(tǒng)地解決方案是先從主機(jī)或者網(wǎng)絡(luò)中收集威脅情報(bào)信息，然后采用特定的技術(shù)規(guī)范描述，形成書面的報(bào)告分發(fā)共享給其它相關(guān)人員。這種做法最明顯的問題是時間延遲非常高。因?yàn)榧词乖谝粋€組織內(nèi)部，情報(bào)共享的效率完全依賴于員工閱讀和分發(fā)報(bào)告的能力，每次消息的傳遞都在增加安全事件的響應(yīng)延遲。因此常見的情況是，當(dāng)組織開始對事件響應(yīng)時，所依據(jù)的信息往往已經(jīng)過時，而且攻擊早已在網(wǎng)絡(luò)中蔓延造成了損失。

基于此，MANDIANT公司基于多年的數(shù)字取證技術(shù)的積累，將使用多年的情報(bào)規(guī)范開源后形成OpenIOC(Open Indicator of Compromise)框架，作為現(xiàn)實(shí)可用的安全情報(bào)共享規(guī)范。OpenIOC本身是一個記錄、定義以及共享安全情報(bào)的格式，它可以幫助你借助機(jī)器可讀的形式實(shí)現(xiàn)不同類型威脅情報(bào)的快速共享。OpenIOC本身是開放、靈活的框架，因此你隨時可以根據(jù)發(fā)現(xiàn)添加新的情報(bào)，完善你的IOC(Indicator of Compromise)。

【關(guān)于MANDIANT】

該公司被眾人所知是從其發(fā)布報(bào)告稱中國RPC針對美國進(jìn)行APT攻擊開始。其具有以下幾個特點(diǎn)：

1. MANDIANT創(chuàng)始人系特工出身：Kevin Mandia于2004年創(chuàng)立該公司，目的是幫助企業(yè)偵測、快速反應(yīng)可能存在的網(wǎng)絡(luò)入侵。Kevin有20年的信息安全從業(yè)經(jīng)歷，曾工作與五角大樓第七通信部任計(jì)算機(jī)安全官員，之后又加入了美國空軍特別調(diào)查辦公室(AFOSI);

2. MANDIANT公司開在中情局附近，而大多數(shù)安全公司都是扎堆在西海岸;

3. MANDIANT是獲得FBI承認(rèn)的“具備參與執(zhí)法資格”的公司;

4. MANDIANT的業(yè)務(wù)主要是安全事件響應(yīng)，現(xiàn)已被FireEye收購;

二、IOC與OpenIOC

IOC(Indicator of Compromise)是MANDIANT在長期的數(shù)字取證實(shí)踐中定義的可以反映主機(jī)或網(wǎng)絡(luò)行為的技術(shù)指示器;而OpenIOC是一套威脅情報(bào)共享的標(biāo)準(zhǔn)，通過遵循該標(biāo)準(zhǔn)，我們可以建立IOC的邏輯分組，實(shí)現(xiàn)威脅情報(bào)的交流共享，比如事件響應(yīng)團(tuán)隊(duì)可以使用OpenIOC的規(guī)范編寫多個IOCs來描述一個威脅的技術(shù)共性。

OpenIOC主要使用XML(Extensible Markup Language)來實(shí)現(xiàn)，XML語言提供了豐富、靈活的格式來將數(shù)據(jù)表示成可機(jī)讀的形式。通常在使用OpenIOC時會定義自己的指示器屬性表(Indicator Term Documens)，里面列出了要使用的諸多屬性，當(dāng)然也可以根據(jù)自己的需要添加新的屬性描述。

三、OpenIOC規(guī)范描述

OpenIOC通過XML來實(shí)現(xiàn)，每個IOC實(shí)質(zhì)都是一個復(fù)合指示器，通常我們會將多個Indicator組合到一起作為一個IOC(Indicator of Compromise)，最終在形式上IOC就是一個復(fù)合表達(dá)式，當(dāng)表達(dá)式值為真時的，則該IOC命中(如作為攻擊IOC，命中時表示該機(jī)器存在Compromise可能)。具體來說，我們需要明確一下幾個術(shù)語：

表達(dá)式(Expression):定義了一個條件，當(dāng)為真值時，表明存在一個入侵行為;

簡單表達(dá)式(Simple Expression)：沒有使用AND或OR兩種邏輯運(yùn)算符的表達(dá)式;

復(fù)雜表達(dá)式(Complex Expression)：多個簡單表達(dá)式通過AND或OR連接;

攻擊指示器(IOC)：多個表達(dá)式的連接，可以是簡單表達(dá)式、復(fù)雜表達(dá)式;

如圖1-IOC Structure：

頂級邏輯為OR運(yùn)算，下層的每個邏輯運(yùn)算符AND或OR只作用于其子元素，如第一個AND運(yùn)算只作用于Registry Path: version和Registry Text: 5, 1, 3802, 0;

我們通過圖2和圖3來說明IOC表達(dá)式的實(shí)際含義：

圖2-Logic branch example：

每個表達(dá)式的條件有contains|contains not|is|is not四種;圖2從文件名、大小、編譯時間以及網(wǎng)絡(luò)DNS和服務(wù)名、DLL等方面對行為進(jìn)行了刻畫。

圖3-Indicator Expression：

上述IOC實(shí)際存儲在一個XML文件中，類型名為ioc，IOC的XML標(biāo)簽并不多，刻畫的細(xì)度主要通過設(shè)置不同的屬性(IndicatoreItem)來實(shí)現(xiàn)，通過模塊化的邏輯結(jié)構(gòu)，可以隨時根據(jù)獲得的信息和知識進(jìn)行IOC優(yōu)化調(diào)整。IOC用到的基本XML標(biāo)簽如下：

< ioc>：用于標(biāo)識一個IOC對象；
< definition>：用于定義具體的Indicator：
< Indicator>：用于包含多個IndicatorItem；
< IndicatorItem>：用于描述一個具體的屬性，其id值標(biāo)識該屬性，condition表明該表達(dá)式成立條件；
< Context>：用于定義屬性的大類和子類，標(biāo)記屬性名，如document="FileItem" search="FileItem/SizeInBytes", 最后的“mir”是MANDIANT Intelligence Response的縮寫；
< Content>：用于定義屬性值的類型以及屬性值，如type="int" ，大小為35343；

OpenIOC定義的XML標(biāo)簽主要就是以上幾種，其對行為的刻畫主要通過復(fù)雜豐富的IndicatorItem來體現(xiàn)，如圖5所示：

四、OpenIOC對行為的刻畫

OpenIOC對于行為的刻畫主要依靠其IndicatorItem來實(shí)現(xiàn)，基于其在數(shù)字取證領(lǐng)域的多年實(shí)踐，OpenIOC為我們提供了豐富、細(xì)化的行為描述屬性。

OpenIOC一共提供了27類屬性，分別是：

ArpEntryItem
CookieHistoryItem
DiskItem
DnsEntryItem
DriverItem
Email
EventLogItem
FileDownloadHistoryItem
FileItem
FormHistoryItem
HiveItem
HookItem
ModuleItem
Network
PortItem
PrefetchItem
ProcessItem
RegistryItem
SerivceItem
Snort
SystemInfoItem
SystemRestoreItem
TaskItem
UrlHistoryItem
UserItem
VolumItem

針對上述每個大類，又可以細(xì)分出諸多小屬性，比如以DiskItem為例，又細(xì)分為：

Disk Name
Disk Partition Length
Disk Partition Number
Disk Partition Offset
Disk Partition Type
Disk Size

更多詳細(xì)的屬性說明在其官方文檔中，除了列表中列出的屬性，OpenIOC還支持自定義該格式的屬性：

CommonIOCterms：http://openioc.org/terms/Common.iocterms

CurrentIOCterms：http://openioc.org/terms/Current.iocterms

五、IOC工作流程

MANDIANT主要在事件響應(yīng)與數(shù)字取證領(lǐng)域使用IOCs，主要分為以下幾個步驟：

獲取初始證據(jù)：根據(jù)主機(jī)或網(wǎng)絡(luò)的異常行為獲取最初的數(shù)據(jù);

建立主機(jī)或網(wǎng)絡(luò)的IOCs：分析初步獲得的數(shù)據(jù)，根據(jù)可能的技術(shù)特征建立IOCs;

在企業(yè)中部署IOCs：在企業(yè)的其它機(jī)器或網(wǎng)絡(luò)中部署IOCs，開始檢測;

發(fā)現(xiàn)更多的可疑主機(jī);

IOCs優(yōu)化：通過初步檢測可獲取的新證據(jù)，并進(jìn)行分析，優(yōu)化已有的IOCs;

六、OpenIOC工具

MANDIANT已經(jīng)為OpenIOC開發(fā)了免費(fèi)的使用工具，主要是IOCeditor和Redline兩個工具。其中IOCeditor用來建立IOCs，而Redline負(fù)責(zé)將IOCs部署到HOST上收集信息后進(jìn)行分析。主要過程如下：

運(yùn)行Mandiant IOCe.exe，打開IOCeditor編輯器窗口，選擇要編輯的IOC文件或新建IOC文件;

為現(xiàn)有的IOC添加IndicatorItem;

設(shè)定表達(dá)式條件;

設(shè)定AND或OR運(yùn)算符;

保存成為.ioc文件;

接下來，需要將已經(jīng)保存的.ioc文件生成collector部署到目標(biāo)Host上，主要依靠Redline提供的IOCs部署功能：

首先運(yùn)行Redline.exe選擇“Create an IOC Search Collector”：

其次選擇已經(jīng)保存好的IOC文件，設(shè)定collector生成位置：

最后將生成的collector部署到目標(biāo)機(jī)器上，運(yùn)行腳本RunRedlineAudit.bat，完成后會在Sessions目錄中保存收集的數(shù)據(jù)，可以在Redline中打開中進(jìn)行分析;

七、小結(jié)

OpenIOC是一個開放靈活的安全情報(bào)共享框架，利用OpenIOC，重要的安全情報(bào)可以在多個組織間迅速傳遞，從而極大縮短檢測到響應(yīng)的時間延遲，提升緊急安全事件響應(yīng)與安全防范的能力。但是由于其發(fā)展自數(shù)字取證領(lǐng)域，因此分析基本基于硬盤鏡像的思想，即就系統(tǒng)的某一個時刻的狀態(tài)進(jìn)行分析

主要內(nèi)容才考OpenIOC的官方文檔：

AnIntroductiontoOpenIOC.pdf

IOCeUserGuide.pdf

ReadlinUserGuider.pdf

【資源列表】：

官方主頁：http://openioc.org/

開源的IOCWriter：https://github.com/mandiant/ioc_writer

IOCEditor Tool下載：https://www.fireeye.com/services/freeware/ioc-editor.html

Redline下載：https://www.fireeye.com/services/freeware/redline.html