Marqueur (d’attaque) (Indicator Of Compromise - IOC - Pattern)

De M82 - DIMA's wiki
Aller à la navigation Aller à la recherche

Ensemble de caractères de texte constituant la description technique d’une activité malveillante, destiné à la détection de cette dernière par un système de sécurité (IDS, firewall, antivirus). On utilise également les termes de marqueur d’activité malveillante ou marqueur de compromission.

Pour aller plus loin Un marqueur s’applique généralement à une communication réseau, à un code binaire d’un exécutable, à une structure de fichiers, à la base de registre Windows, ou encore à un fichier numérique. Pour autant il peut être appliqué, en théorie, à tout ensemble de données numériques manipulées par un ordinateur. Le marqueur seul est rarement suffisant pour détecter une activité malveillante, il est nécessaire de préciser le contexte d’application (ou le domaine) ainsi que d’autres paramètres (caractère de péremption du marqueur, type de code malveillant associé, etc.). Dans ce cadre, pour utiliser un marqueur en détection, il faut généralement comparer le marqueur à l’ensemble des éléments de son domaine d’application. Le motif est alors comparé à l’ensemble des données considérées. Lorsque le marqueur est trouvé, on parle de détection, de correspondance ou encore de match ou hit. Lorsque l’activité ainsi détectée ne se révèle pas être malveillante, on parlera de « faux positif ».

Ainsi, la détection seule ne suffit pas, il convient de la qualifier (voir Qualification). Les marqueurs sont, en général, regroupés suivant deux familles distinctes :

  • les marqueurs réseau, qui caractérisent une activité réseau (flux, session*, adresse IP*, nom de domaine*) ;
  • les marqueurs systèmes, qui caractérisent une activité sur le système d’exploitation* (chemin de fichier, chaine binaire d’un exécutable, création d’un jeton d’exclusion mutuelle, hash de contrôle MD5* d’un exécutable, etc.).

Enfin, pour représenter les variations d’un marqueur, les motifs comportent régulièrement des caractères génériques de description (utilisant le plus souvent le standard d’écriture des expressions régulières/rationnelles de type POSIX – IEEE 1003.2). Il existe de nombreuses initiatives de standardisation pour l’écriture des marqueurs au sein d’un système de sécurité donné (RFC*5070, CyBOX, OpenIOC, etc.) mais aucune n’émerge comme standard commun.

Récupérée de « https://diod.m82-project.org/index.php?title=Marqueur_(d’attaque)_(Indicator_Of_Compromise_-_IOC_-_Pattern)&oldid=696 »