IOCs Overview (Ar)

Indicators of Compromise (in Arabic)

Featured image

إيه هي الـ IOCs؟ أنواعها؟ إيه فايدتها في الMalware Analysis؟ وايه علاقتها بالDetection Mechanisms؟

عندنا اكتر من Detection Mechanism بنستعملها في كشف العينات المتشابهة من الMalware بدايةً من الاداة اللي بتبحث عن hash او كلمة معينة في الملف، لحد الاداة اللي بتبحث بناءً على statistics و patterns معينة.

الDetection Mechanism ممكن تبقى:

كلمة IOC اختصار ل Indicators of Compromise ومقصود بيها أي Forensic Data موجودة على Network او Host نقدر من خلالها نحدد الintrusion اللي حصل

بمعنى آخر؛ ال IOC عبارة عن الSignatures اللي بنلاقيها في الMalware بعد ما نخلص عملية الAnalysis وبتساعدنا في عمليات الDetection بعد كدة اننا نعرف العينات المتشابهة من الMalware، زي الhashes والip addresses والdomains وغيرهم

الIOCs تنقسم لنوعين؛ Network-based او Host-based

النوع الأول Network-based Indicators زي:

2-النوع التاني Host-based Indicators زي:

الSignature ممكن تحتوي على IOC واحدة او اكتر.. وطبعا كل ما زودنا عدد الIOCs الموجودة في الSignature هتكون دقتها أعلى وأحسن في الdetection وهتقلل عمليات الfalse-positive.

من احسن الtools اللي ممكن نستخدم فيها الIOCs هي Yara ودي بتساعد في تحديد وتصنيف الmalware samples، الاداة بيبقى ليها syntax بسيط بنكتب جواه الIOCs ووصفها ونقدر نستخرج بيها معلومات من الsamples ونقارنها ونحط شروط براحتنا... لو حابب تاخد فكرة عنها او تتعلمها هتلاقي الdocs بتاعتها هنا

فيه IOCs Scanners tools بيستخدمها الSOC Teams ووظيفتها انها تكشف وتجمع الIOCs من العينة او السيستم زي:

بعضهم بيستخدم ال Yara Rules وتقدر تشوف كل اداة بنفسك وتجربها.