Indicadores de Comprometimento, ou IoCs (do inglês Indicators of Compromise), são sinais ou evidências que sugerem a ocorrência de uma violação de segurança ou comprometimento de um sistema, rede ou ambiente de TI. Esses indicadores podem variar desde atividades suspeitas até artefatos de malware identificados durante uma investigação de segurança. Os IoCs são essenciais para identificar e responder a incidentes de segurança de forma eficaz, pois ajudam a reconhecer padrões de comportamento malicioso, identificar a presença de ameaças cibernéticas e tomar medidas corretivas para proteger os sistemas e os dados.
Exemplos de IoCs incluem:
Anomalias no tráfego de rede:
- Tráfego de saída incomum: Um aumento repentino de dados sendo enviados do seu dispositivo, potencialmente para endereços IP desconhecidos ou suspeitos, pode indicar atividade não autorizada.
- Varreduras de rede não autorizadas: Atividades de varredura que não fazem parte da manutenção de rotina ou verificações de segurança.
- Picos ou quedas na atividade da rede: Flutuações no tráfego de rede em comparação com seus padrões de uso típicos podem sugerir malware enviando dados roubados ou iniciando comunicação com um servidor de comando e controle.
- Tráfego para sites maliciosos conhecidos: Se o seu dispositivo tentar se conectar a sites conhecidos por abrigar malware ou tentativas de phishing, pode ser um sinal de infecção.
Atividade incomum:
- Instalações ou atualizações inesperadas de software: Se novos programas aparecem em seu sistema sem o seu conhecimento ou consentimento, é uma bandeira vermelha, especialmente se eles vierem de fontes não confiáveis.
- Alterações inexplicáveis nas configurações do sistema: Modificações em configurações que você não fez, como software de segurança desativado ou regras de firewall alteradas, podem indicar adulteração maliciosa.
- Adição, exclusão ou modificação inexplicável de dados: Se seus arquivos estão sendo acessados, alterados ou excluídos sem sua autorização, é motivo de preocupação.
- Anormalidades geográficas: Tráfego inesperado de países ou locais onde sua organização não tem presença.
Problemas de desempenho:
- Lentidão do sistema: Um declínio perceptível no desempenho geral do seu sistema, como tempos de inicialização mais lentos ou resposta lenta do aplicativo, pode ser causado por malware consumindo recursos.
- Travamentos ou congelamentos frequentes: Travamentos ou congelamentos inesperados do sistema ocorrendo com mais frequência do que o normal podem ser um sinal de problemas subjacentes, potencialmente relacionados a malware.
- Pop-ups ou propagandas: Pop-ups intrusivos ou propagandas aparecendo na sua tela, especialmente aqueles não relacionados à sua atividade de navegação, podem ser indicativos de infecção por malware.
Alertas de software de segurança:
- Notificações de software de segurança: Preste muita atenção aos alertas e avisos do seu antivírus, anti-malware ou firewall. Essas notificações geralmente indicam atividades suspeitas ou ameaças detectadas.
Problemas relacionados à conta:
- Dificuldade para logar: Se você encontrar problemas para entrar em suas contas, como receber erros de “senha incorreta” apesar de usar as credenciais corretas, pode ser um sinal de que sua conta foi comprometida.
- Atividade suspeita da conta: Se você notar atividade incomum em suas contas online, como compras não autorizadas ou alterações em suas informações de perfil, pode ser um sinal de que suas credenciais estão sendo usadas por outra pessoa.
Nem sempre esses indicadores podem ser uma prova definitiva de um sistema comprometido. No entanto, se você experimentar algum deles, é importante tomar medidas imediatas para verificar se há malware em seu sistema e alterar suas senhas para todas as contas afetadas.
Os produtos da Kaspersky procuram indicadores de comprometimento utilizando IOC files. Os IOC files são ficheiros que contêm os conjuntos de indicadores que a aplicação tenta corresponder para contar uma detecção.
