6.6.2. Компьютерные атаки, связанные с использованием вредоносного программного обеспечения применительно к объектам информационной инфраструктуры участников информационного обмена и их клиентов [malware] (для вектора [INT], [EXT])

Номер блока (поля) данных

Идентификатор блока (поля) данных

Содержание блока (поля) данных

Формат поля данных

Формат электронного сообщения

Обязательность информирования

Этапы информирования

2

"sourceId"

(поле данных)

идентификатор, присвоенный участником информационного обмена

128-битный идентификатор (GUID), сформированный в соответствии со спецификацией RFC 4122 [16], присвоенный участником информационного обмена

"malware": [{

"sourceId": "f34030ef-358a-445c-8567-25985ce6d91c",

"target": {

"ip": "127.0.0.1"

},

"sources": [{

"ip": "127.0.0.1",

"domain": "example.com",

"url": "http://example.com"

}],

"classifications": [{

"vendorName": "наименование средства от ВВК",

"vendorVerdict": "классификация ВК"

}],

"malwareSamples": [{

"hash": {

"md5": "4BA5139A444538479D9D750E2E2779BF",

"sha1": "D2B063763378A8CB38B192B2F71E78BC13783EFE",

"sha256": "E25059612A71BAB224C7CB438FD7A0D3C1C78AD40664C48F12A9AE48FA441E44"

},

"attachment": {

"sourceId": "f34030ef-358a-445c-8567-25985ce6d91c",

"comment": "описание вложения",

"dateTimeAt": "2018-03-22T08:14:38Z",

"file": {

"name": "имя файла",

"size": "размер файла в байтах",

"base64": "вложение в формате base64"

},

"fileLink": "http://domain.com/archive.rar"

}

}],

"malwareMessageSenders": [{

"email": "qwerty@example.ru",

"server": "127.0.0.1"

}],

"malwareMessageAttachment": {

"sourceId": "f34030ef-358a-445c-8567-25985ce6d91c",

"comment": "примечание к вложению",

"dateTimeAt": "2018-03-22T08:14:38Z",

"file": {

"name": "имя файла",

"size": "размер файла в байтах",

"base64": "вложение в формате base64"

},

"fileLink": "http://domain.com/archive.rar"

},

"harmfulResourceAddress": [{

"ip": "127.0.0.1",

"domain": "example.com",

"url": "http://example.com"

}],

"iocs": [{

"net": [{

"impact": "тип выявленного компрометирующего идентификатора",

[N]

[2], [3]

2.1

"target"

(блок данных)

идентификатор объекта атаки

[N]

[2], [3]

2.1.1

"ip"

(поле данных)

IP-адрес

Логический адрес IPv4 должен соответствовать спецификации RFC 791 [12]

[N]

[2], [3]

2.2

"sources"

(блок данных)

идентификаторы источников вредоносных ресурсов в сети Интернет, с которыми взаимодействует атакуемый объект

В случае необходимости указания нескольких значений полей данных (ip, domain, url) указывается один или несколько объектов в блоке данных "sources"

[N]

[2], [3]

2.2.1

"ip"

(поле данных)

IP-адрес

Логический адрес IPv4 должен соответствовать спецификации RFC 791 [12]

[N]

[2], [3]

2.2.2

"domain"

(поле данных)

доменное имя

Доменное имя согласно спецификации RFC 1034 [14], а также международной иерархии доменных зон в соответствии со спецификацией RFC 5890 [13]

[N]

[2], [3]

2.2.3

"url"

(поле данных)

URL-адрес

URL в соответствии со спецификацией RFC 3986 [15]

[N]

[2], [3]

2.3

"classifications"

(блок данных)

классификация ВК

В случае необходимости указания нескольких значений полей данных (vendorName, vendorVerdict) указывается один или несколько объектов в блоке данных "classifications"

[N]

[2], [3]

2.3.1

"vendorName"

(поле данных)

наименование используемого участником информационного обмена средства от ВВК

текстовое поле (textarea)

[N]

[2], [3]

2.3.2

"vendorVerdict"

(поле данных)

класс ВК в соответствии со средством от ВВК участника информационного обмена

текстовое поле (textarea)

[N]

[2], [3]

2.4

"malwareSamples"

(блок данных)

указываются образцы ВК, которые могут характеризоваться хэш-функцией или прикрепленным вложением

В случае необходимости указания нескольких значений подблоков данных (hash, attachment) указывается один или несколько объектов в блоке данных "malwareSamples"

[N]

[2], [3]

2.4.1

"hash"

(подблок данных)

образец ВК в виде хэш-функций (для каждого образца ВК вычисляется хэш-функция MD5, SHA-1, SHA-256)

[N]

[2], [3]

2.4.1.1

"md5"

(поле данных)

образец ВК в виде хэш-функции MD5

последовательность символов, полученных в результате вычисления хэш-функции MD5

[N]

[2], [3]

2.4.1.2

"sha1"

(поле данных)

образец ВК в виде хэш-функции SHA-1

последовательность символов, полученных в результате вычисления хэш-функции SHA-1

[N]

[2], [3]

2.4.1.3

"sha256"

(поле данных)

образец ВК в виде хэш-функции SHA-256

последовательность символов, полученных в результате вычисления хэш-функции SHA-256

[N]

[2], [3]

2.4.2

"attachment"

(подблок данных)

образец ВК в виде файла

[N]

[2], [3]

2.4.2.1

"sourceId"

(поле данных)

идентификатор, присвоенный участником информационного обмена

128-битный идентификатор (GUID), сформированный в соответствии со спецификацией RFC 4122 [16], присвоенный участником информационного обмена

[N]

[2], [3]

2.4.2.2

"comment"

(поле данных)

описание вложения

текстовое поле (textarea)

[N]

[2], [3]

2.4.2.3

"dateTimeAt"

(поле данных)

дата и время добавления файла

формат представления данных в соответствии со спецификацией RFC 3339 [11]

[N]

[2], [3]

2.4.2.4.1

"file"

(подблок данных)

дополнительные материалы, содержащие образцы ВК

Указывается наименование, размер файла (не более 5 Мб), выполняется кодировка в формате Base64

[N]

[2], [3]

2.4.2.5

"fileLink"

(поле данных)

дополнительные материалы, содержащие образцы ВК

Указывается URL-адрес для скачивания файла, в случае если его размер превышает 5 Мб, в соответствии со спецификацией RFC 3986 [15]

[N]

[2], [3]

2.5

"malwareMessage Senders"

(блок данных)

идентификаторы электронных почтовых ящиков, с которых поступило письмо с вложенным ВК

В случае необходимости указания нескольких значений полей данных (email, server) указывается один или несколько объектов в блоке данных "malwareMessage"

[N]

[2], [3]

2.5.1

"email"

(поле данных)

адрес электронного почтового ящика отправителя

Адрес электронного почтового ящика отправителя представляется в формате в соответствии со спецификацией RFC 5322 [18]

[N]

[2], [3]

2.5.2

"server"

(поле данных)

IP-адрес последнего почтового сервера

Логический адрес IPv4 должен соответствовать спецификации RFC 791 [12]

[N]

[2], [3]

2.6

"malwareMessageAttachment"

(подблок данных)

файл с исходным кодом электронного письма (в случае, если ВК был прислан на электронный почтовый ящик)

[N]

[2], [3]

2.6.1

"sourceId"

(поле данных)

идентификатор, присвоенный участником информационного обмена

128-битный идентификатор (GUID), сформированный в соответствии со спецификацией RFC 4122 [16], присвоенный участником информационного обмена

[N]

[2], [3]

2.6.2

"comment"

(поле данных)

описание вложения

текстовое поле (textarea)

[N]

[2], [3]

2.6.3

"dateTimeAt"

(поле данных)

дата и время добавления файла

формат представления данных в соответствии со спецификацией RFC 3339 [11]

[N]

[2], [3]

2.6.4.1

"file"

(блок данных)

файл данных, содержащий образец ВК

Указывается наименование, размер файла (не более 5 Мб), выполняется кодировка в формате Base64

[N]

[2], [3]

2.6.4

"fileLink"

(поле данных)

ссылка для получения (скачивания) файла данных, содержащего образцы ВК

Указывается URL-адрес для скачивания файла, в случае если его размер превышает 5 Мб, в соответствии со спецификацией RFC 3986 [15]

[N]

[2], [3]

2.7

"harmfulResourceAddress"

(блок данных)

идентификаторы вредоносных ресурсов, с которых был загружен ВК

В случае необходимости указания нескольких значений полей данных (ip, domain, url) указывается один или несколько объектов в блоке данных "harmfulResourceAddress"

[N]

[2], [3]

2.7.1

"ip"

(поле данных)

IP-адрес

Логический адрес IPv4 должен соответствовать спецификации RFC 791 [12]

[N]

[2], [3]

2.7.2

"domain"

(поле данных)

доменное имя

Доменное имя согласно спецификации RFC 1034 [14], а также международной иерархии доменных зон в соответствии со спецификацией RFC 5890 [13]

[N]

[2], [3]

2.7.3

"url"

(поле данных)

URL-адрес

URL в соответствии со спецификацией RFC 3986 [15].

[N]

[2], [3]

2.8

"iocs"

(блок данных)

выявленные индикаторы компрометации

В случае необходимости указания нескольких значений полей данных (net, fil, reg, prc, oth) указывается один или несколько объектов в блоке данных "iocs"

[N]

[2], [3]

2.8.1

"net"

(подблок данных)

сетевые индикаторы

В случае необходимости указания нескольких значений полей данных (impact, comment) указывается один или несколько объектов в блоке данных "net"

[N]

[2], [3]

2.8.1.1

"impact"

(поле данных)

тип выявленного компрометирующего идентификатора

Выбирается один код из ограниченного множества возможных значений:

- [CRT] - создание технических данных;

- [UPD] - изменение технических данных;

- [DLT] - удаление технических данных

[N]

[2], [3]

2.8.1.2

"comment"

(поле данных)

дополнительное описание

текстовое поле (textarea)

[N]

[2], [3]

2.8.2

"fil"

(подблок данных)

файловые индикаторы

В случае необходимости указания нескольких значений полей данных (impact, comment) указывается один или несколько объектов в блоке данных "fil"

[N]

[2], [3]

2.8.2.1

"impact"

(поле данных)

тип выявленного компрометирующего идентификатора

Выбирается один код из ограниченного множества возможных значений:

- [CRT] - создание технических данных;

- [UPD] - изменение технических данных;

- [DLT] - удаление технических данных

[N]

[2], [3]

2.8.2.2

"comment"

(поле данных)

дополнительное описание

текстовое поле (textarea)

[N]

[2], [3]

2.8.3

"reg"

(подблок данных)

индикаторы реестра ОС

В случае необходимости указания нескольких значений полей данных (impact, comment) указывается один или несколько объектов в блоке данных "reg"

[N]

[2], [3]

2.8.3.1

"impact"

(поле данных)

тип выявленного компрометирующего идентификатора

Выбирается один код из ограниченного множества возможных значений:

- [CRT] - создание технических данных;

- [UPD] - изменение технических данных;

- [DLT] - удаление технических данных

[N]

[2], [3]

2.8.3.2

"comment"

(поле данных)

дополнительное описание

текстовое поле (textarea)

[N]

[2], [3]

2.8.4

"prc"

(подблок данных)

индикаторы процессов ОС

В случае необходимости указания нескольких значений полей данных (impact, comment) указывается один или несколько объектов в блоке данных "prc"

[N]

[2], [3]

2.8.4.1

"impact"

(поле данных)

тип выявленного компрометирующего идентификатора

Выбирается один код из ограниченного множества возможных значений:

- [CRT] - создание технических данных;

- [UPD] - изменение технических данных;

- [DLT] - удаление технических данных

[N]

[2], [3]

2.8.4.2

"comment"

(поле данных)

дополнительное описание

текстовое поле (textarea)

[N]

[2], [3]

2.8.5

"oth"

(подблок данных)

индикаторы, не учтенные в (2.8.1 - 2.8.4.2)

В случае необходимости указания нескольких значений полей данных (impact, comment) указывается один или несколько объектов в блоке данных "oth"

[N]

[2], [3]

2.8.5.1

"impact"

(поле данных)

тип выявленного компрометирующего идентификатора

Выбирается один код из ограниченного множества возможных значений:

- [CRT] - создание технических данных;

- [UPD] - изменение технических данных;

- [DLT] - удаление технических данных

[N]

[2], [3]

2.8.5.2

"comment"

(поле данных)

дополнительное описание

текстовое поле (textarea)

[N]

[2], [3]

2.9

"infectionMethods"

(блок данных)

идентификаторы предполагаемых способов "заражения"

В случае необходимости указания нескольких значений полей данных (type,

comment) указывается один или несколько объектов в блоке данных "infectionMethods"

[N]

[2], [3]

2.9.1

"type"

(поле данных)

тип предполагаемого способа заражения

Выбирается один код из ограниченного множества возможных значений:

- [EML] - по каналам электронной почты;

- [DSD] - с носителя информации;

- [LCL] - распространение по локальной сети;

- [OTH] - иной способ

[N]

[2], [3]

2.9.2

"comment"

(поле данных)

примечание к выбранному типу

текстовое поле (textarea)

[N]

[2], [3]