Cibersegurança: sabe o que são IOCs? Veja um exemplo

15 Mai 2025 · Internet 3 Comentários

Na área da cibersegurança, tal como em outras áreas, há diferentes termos que não fazem propriamente parte da sociedade em geral, mas sim de pessoas mais especializadas. Já ouviu falar em IOC (ou Indicator of Compromise, em inglês)?

Um IOC é um indicador de comprometimento — ou seja, qualquer evidência observável de que um sistema ou rede possa ter sido comprometido por uma ameaça ou ataque. Os IOCs são usados por equipas de segurança para detetar, investigar e responder a incidentes de segurança. Ferramentas de SIEM, EDR, firewalls e antivírus podem usar listas de IOCs para bloquear ou alertar sobre atividades suspeitas.

Exemplos comuns de IOCs

Endereços IP associado a páginas ou serviços maliciosos.
Domínios ou URLs usados em campanhas de phishing.
Hashes de ficheiros maliciosos (como MD5, SHA-1, SHA-256).
Assinaturas de malware conhecidas.
Endereços de email usados em spam ou spear-phishing.
Strings específicas em ficheiros de log que indicam comportamento suspeito.
Padrões de tráfego de rede não comuns

Vamos a um exemplo...

O SIEM (ex: Splunk, QRadar, Elastic) disparou um alerta tendo sido gerado o seguinte log "Ligação de saída para o IP 185.243.115.23 detetada a partir de uma workstation interna." A equipa analisa o tráfego e vê que o utilizador "ana.xpto@empresa.pt" recebeu um email com um anexo .docm. Na análise do documento é verificado que tem macros maliciosas que, ao serem ativadas, fizeram o seguinte:

contactaram o IP 185.243.115.23.
Descarregaram um executável malicioso.
Criaram uma chave de registo para persistência.
Estabeleceram comunicação com o domínio updates-notify[.]com.

Durante a análise, foram recolhidos os seguintes IOCs:

IP malicioso: 185.243.115.23
Domínio malicioso: updates-notify[.]com
Hash do ficheiro: SHA256: 3f4c9...abc
Nome do anexo: fatura_4294.docm
Chave de registo: HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Updater

Um IOA (Indicator of Attack) — ou Indicador de Ataque — é diferente de um IOC. Enquanto um IOC mostra que algo já aconteceu, um IOA foca-se em identificar o comportamento ou a intenção do atacante em tempo real ou antes do impacto total.

Comentários3

Guzland says:

15 de Maio de 2025 às 13:55

Será que o site “have you been pwned?” tem esta base do IOC’s?

Responder
- Corrector says:
  
  15 de Maio de 2025 às 17:08
  
  Sim, tem uma base desse tipo.
  
  Responder
- cAPEX says:
  
  15 de Maio de 2025 às 20:09
  
  Se não foste então irás ser pwned se visitares esse site.
  
  Responder

Deixe um comentário Cancelar Resposta

Aviso: Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.