Na área da cibersegurança, tal como em outras áreas, há diferentes termos que não fazem propriamente parte da sociedade em geral, mas sim de pessoas mais especializadas. Já ouviu falar em IOC (ou Indicator of Compromise, em inglês)?
Um IOC é um indicador de comprometimento — ou seja, qualquer evidência observável de que um sistema ou rede possa ter sido comprometido por uma ameaça ou ataque. Os IOCs são usados por equipas de segurança para detetar, investigar e responder a incidentes de segurança. Ferramentas de SIEM, EDR, firewalls e antivírus podem usar listas de IOCs para bloquear ou alertar sobre atividades suspeitas.
Exemplos comuns de IOCs
- Endereços IP associado a páginas ou serviços maliciosos.
- Domínios ou URLs usados em campanhas de phishing.
- Hashes de ficheiros maliciosos (como MD5, SHA-1, SHA-256).
- Assinaturas de malware conhecidas.
- Endereços de email usados em spam ou spear-phishing.
- Strings específicas em ficheiros de log que indicam comportamento suspeito.
- Padrões de tráfego de rede não comuns
Vamos a um exemplo…
O SIEM (ex: Splunk, QRadar, Elastic) disparou um alerta tendo sido gerado o seguinte log “Ligação de saída para o IP 185.243.115.23 detetada a partir de uma workstation interna.” A equipa analisa o tráfego e vê que o utilizador “ana.xpto@empresa.pt” recebeu um email com um anexo .docm. Na análise do documento é verificado que tem macros maliciosas que, ao serem ativadas, fizeram o seguinte:
- contactaram o IP 185.243.115.23.
- Descarregaram um executável malicioso.
- Criaram uma chave de registo para persistência.
- Estabeleceram comunicação com o domínio updates-notify[.]com.
Durante a análise, foram recolhidos os seguintes IOCs:
- IP malicioso: 185.243.115.23
- Domínio malicioso: updates-notify[.]com
- Hash do ficheiro: SHA256: 3f4c9…abc
- Nome do anexo: fatura_4294.docm
- Chave de registo: HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Updater
Um IOA (Indicator of Attack) — ou Indicador de Ataque — é diferente de um IOC. Enquanto um IOC mostra que algo já aconteceu, um IOA foca-se em identificar o comportamento ou a intenção do atacante em tempo real ou antes do impacto total.