IOC (Indicator of Compromise)
Indicators of Compromise (IOCs) sind forensische Artefakte oder Beobachtungen in einem System oder Netzwerk, die auf eine vergangene oder aktive Kompromittierung hinweisen - z. B. bekannte Malware-Hashes, verdächtige IP-Adressen oder ungewöhnliche Registry-Einträge.
Indicators of Compromise (IOCs) sind die digitalen Spuren, die ein Angreifer bei seiner Aktivität hinterlässt. Sie ermöglichen es Sicherheitsteams, eine Kompromittierung zu bestätigen, die Ausbreitung zu beurteilen und betroffene Systeme zu identifizieren.
IOC-Typen
Netzwerk-IOCs:
- IP-Adressen bekannter C2-Server (Command & Control)
- Domains (Malware-Domains, Fast-Flux-DNS)
- URLs (Phishing-Seiten, Malware-Download-Quellen)
- Netzwerk-Traffic-Muster (ungewöhnliche Protokolle, ungewöhnliche Ziele)
Host-IOCs:
- Datei-Hashes (MD5, SHA-1, SHA-256 bekannter Malware)
- Dateinamen und -pfade
- Registry-Schlüssel und -Werte
- Prozessnamen und -hierarchien
- Mutex-Namen (von Malware zur Verhinderung von Doppelinstallationen genutzt)
Account-IOCs:
- Ungewöhnliche Anmeldungen (unbekannte Geolokation, Uhrzeit, User-Agent)
- Neue lokale Administratorkonten
- Passwortänderungen privilegierter Konten
- Kerberos-Ticket-Anomalien
IOC vs. TTP
IOCs sind reaktiv: Sie zeigen, was war. TTPs (Tactics, Techniques, and Procedures) aus dem MITRE ATT&CK Framework sind präventiver: Sie beschreiben, wie Angreifer vorgehen, unabhängig von spezifischen IOCs. IOCs ändern sich mit jeder Kampagne; TTPs bleiben relativ stabil.
IOC-Sharing
Threat Intelligence Feeds (z. B. MISP, OpenCTI, AlienVault OTX) ermöglichen das Teilen von IOCs zwischen Organisationen. Das BSI CERT-Bund betreibt einen nationalen IOC-Feed für deutsche KRITIS-Betreiber.
IOCs werden in standardisierten Formaten ausgetauscht: STIX 2.1 (Structured Threat Information eXpression) und TAXII (Trusted Automated eXchange of Intelligence Information).
