Indicator of Compromise (IoC)
Der Begriff “Indicator of Compromise”, kurz IoC stammt eigentlich aus der forensischen Analyse und bezeichnet jede Form von Information, die mit hoher Wahrscheinlichkeit eine Kompromittierung eines IT-Systems indiziert.
Im einfachsten Fall ist ein Indicator of Compromise beispielsweise eine Datei oder eine Schadsoftware, die ein Angreifer auf einem System hinterlassen hat. Schwieriger sind IoCs, wenn dem Unternehmen eine mögliche Kompromittierung gar nicht bekannt ist und der Virenscanner auch nichts erkennt. In diesem Fall wird häufig auf das Kommunikationsverhalten zurückgegriffen.
Netzwerkkommunikation als IoC
Sehr viele Schadprogramme benötigen nach der Infektion eines Systems eine Verbindung zu einem Command & Control Server, von dem weitere Schadfunktionen oder auszuführende Befehle nachgeladen werden und zu dem vertrauliche Unternehmensdaten hochgeladen werden. An dieser Stelle setzt die moderne IoC-Erkennung an.
Schadsoftware nutzt verstärkt kryptographisch erzeugte Domainnamen, die sich regelmäßig nach wenigen Stunden oder einem Tag ändern, um über DNS-Abfragen die aktuell gültige IP-Adresse des Command & Control Servers herauszufinden. Da Domain Registrierungsstellen Domänen die von Schadsoftware genutzt wird oft schnell abschalten, ist ein häufiger Wechsel notwendig. Die kryptographische Erzeugung stellt außerdem sicher, dass bei einer Analyse der Malware keine Domainliste gefunden wird, die bereits im Vorfeld abgeschaltet werden kann. Die IP-Adresse des C&C-Servers kann sich ebenfalls schnell ändern, wenn ein Cloud Provider einen Server beispielsweise abschaltet und ein neuer Server bei einem anderen Provider in Betrieb genommen wird.
Mögliche Indicator of Compromise wären in einem solchen Fall:
- Ein Client stellt auffällig viele und seltsame DNS-Anfragen zu Domänen die ein Anwender normalerweise nicht eingeben würde. Beispielsweise sehr lange Domainnamen oder Domänen die aus einer zufällig aussehenden Kombination aus Buchstaben und Ziffern bestehen
- Ein Client stellt auffällig viele DNS-Anfragen zu ungebräuchlichen und neuen Top-Level-Domänen wie .email, .fit, .fail oder .rest, die bekannt dafür sind, oft von Schadsoftware missbraucht zu werden
- Ein Client kommuniziert auffällig oft mit IP-Adressen von Cloud-Diensten oder mit IP-Adressen aus Adressbereichen die bekannt für die Verbreitung von Schadsoftware sind
- Ein Client überträgt auffällig viele Daten zu einem Server im Internet, insbesondere werden mehr Daten hochgeladen als heruntergeladen
- Um diese Indicator of Compromise erkennen und nutzen zu können, müssen jedoch umfangreiche Logfiles z.B. zu DNS-Anfragen erzeugt und automatisiert zeitnah ausgewertet werden. Nur dann ist gewährleistet, dass kompromittierte Systeme frühzeitig identifiziert und Schaden vom Unternehmen abgewendet wird.
Datenveränderung als IoC
Ransomware verschlüsselt nach einer Infektion Dateien auf dem lokalen System sowie auf Fileservern im Netzwerk um anschließend Schutzgeld zu erpressen. Dabei ist jedoch immer fraglich, ob trotz Schutzgeldzahlung ein Schlüssel zur Wiederherstellung der Daten herausgegeben wird oder überhaupt existiert. Manche Ransomware überschreibt Dateien auch einfach mit Müll, ohne die Dateien überhaupt zu verschlüsseln. Diese Schadprogramme müssen deshalb möglichst frühzeitig erkannt werden, um den entstandenen Schaden zu minimieren.
Ein wichtiger Indicator of Compromise ist daher beispielsweise, wenn auf einem Client oder einem Fileserver innerhalb kurzer Zeit sehr viele verschiedene Dateien verändert werden. In einem solchen Fall sollte es möglich sein, den Client zu isolieren, um weitere Veränderungen zumindest vorläufig zu unterbinden und den Fall untersuchen zu können.
Unsere Leistung
Wir beraten Sie bei der Auswahl geeigneter IT-Sicherheitslösungen, die eine Erkennung von unerwünschten Aktivitäten durch IoCs unterstützen. Wir unterstützen Sie bei der Identifizierung von geeigneten IoCs basierend auf Ihrer Infrastruktur und Ihrer Nutzung. Wir helfen Ihnen bei der Umsetzung beispielsweise durch Anbindung an ein SIEM. Falls notwendig implementieren wir geeignete Abfragen in Ihrem SIEM und leisten technischen Support.
Außerdem kombinieren wir Ihr SIEM mit einer Security Orchestration, Automation and Response (SOAR) Lösung.