Izenak adierazten duen bezala, datu hau sistemaren jardueraren ondorioz sortzen da, eta mehatxuaren portaera, ezaugarri eta deskribapenari buruzko informazioa ematen du. Ildo horri jarraikiz, konpromisoaren adierazleak (aurreratzean, IoC) ebidentzia modura funtzionatzen du, eta malware batek ekipoa konprometitu duen baieztatzen du, baina, gainera, informazio potentziala ematen du, etorkizunean erasoak prebenitzeko.
IoC izenekoak teknologia estandarizatuan oinarritzen dira. Konprometitutako ekipoan dauden ebidentzien bidez mehatxu baten berezitasun teknikoak definitu nahi ditu, hau da, elementuak identifikatzen dira, besteak beste, sortutako fitxategiak, aldatutako erregistro-sarrerak, prozesu edo zerbitzu berriak, eta abar, mehatxuak konprometitutako beste sistema batzuk identifikatu edo horiek prebenitu ahal izateko.
Modu horretan, gorabeherak kudeatzen dituzten pertsonekin eta taldeekin informazioa trukatzen da, eta sinadurak zenbait tresnatan inplementa daitezke:
- Sarrera bidegabeak detektatzeko sistemak (IDS).
- Sarrera bidegabeak prebenitzeko sistemak (IPS).
- Host batean sarrera bidegabeak detektatzeko sistemak (HIDS).
- Host batean sarrera bidegabeak prebenitzeko sistemak (HIPS).
- Firewallak (FW).
IoCen baliorik garrantzitsuena da informazioa trukatzea, adituen analisitik, gorabeheren erantzunetik edo malwarearen azterketatik abiatuta, ezagutza sortu eta partekatzen baita. Halako informazioa trukatzeko sistema estandarizatu ezagunenak honako hauek dira:
- Software gaiztoen atributuak zerrendatu eta karakterizatzea (MAEC).
- Cyber Observable eXpression (Cybox).
- Konpromisoaren adierazle irekiak (OpenIOC)
Azkenik, hona hemen IoCren zenbait adibide:
- Hashak: Oso jardunbide estandarizatua da lagin bakoitzean hashingaren algoritmoen bidez identifikatzaile bakar bat sortzea. Identifikatzailea (hash) bakarra da, eta ez daude malwarearen bi lagin datu desberdinekin eta identifikatzaile berarekin. Hala, beste erakunde batzuek IoC horiek erabil ditzakete haien sistemetan sartzeko eta beren ikerketak egiteko. Ildo horretatik, sarritan, bereziki malware bat banatzen duen kanpainaren gainean datu berriak aurki daitezke.
- Datuen trafikoa eta IP helbideak: Batzuetan jarduera gaiztoa sarean hautematen da trafikoa monitorizatu ondoren eta sarrera bidegabeak detektatzeko sistemen bidez. Datu-mugimendu arrotzak eta ezohiko webguneetara sarbideak balizko konpromisoaren adierazleen seinale izan daitezke.
Bestalde, malwarea aztertzen denean, Komando eta Kontrol (C&C) zerbitzariaren IP helbidea ezagutzea ezinbestekoa da, komunikazioa harekin ezartzen baitu. Erasotzaileek zerbitzari horiek helburu desberdinez erabiltzen dituzte (besteak beste, konprometitutako ekipotik informazioa filtratzea edo troiarrak deskargatzea). Beraz, gune gaiztoetara balizko konexio-saioak detektatzeko zerbitzarien IP helbideak konpromisoaren adierazleak dira.
Malwarea aztertzearen bestelako zeregina da kode gaiztoak sisteman egiten dituen aldaketak eta nola manipulatzen dituen ulertzea. Esaterako, Windowsen Erregistroa datu-base bat da, eta sistema, programak eta bestelako elementuak funtzionatzeko konfigurazio-balioak ditu. Programa gaizto askok erregistroan sarrera sortzen dute beren konfigurazioa gordetzeko. Aurrekoaren harira, zenbait sarrerak balio estrategiko handia dute (AutoRunak).
Ondoren, IoC moten zerrenda adierazgarria aipatzen da, zehatza ez izan arren:
- Webgune ezezagunetarantz ezohiko sare-trafikoa, webguneetarantz, kanpoko zerbitzarietarantz edo sare bereko ekipoen bidez datu-bolumen handiak mugitzea.
- Sistemaren konfigurazioa aldatzea, erregistroan sarrera berriak, eguneratzearen jarduerarekin edo legezko programak instalatzearekin bat datozenak.
- Zenbait prozesutan diskorako sarbidea gehitzen duen ezohiko jarduera.
- Administratzailearen edo pribilegioak dituzten beste erabiltzaile batzuen kontuan susmopeko jarduera, bai eta kontu ezezagunak edo susmopeko saioak hastea ere.
- Etab.
