Manual de Seguridad XOps - Ataque a Sitios Web de Phishing

Este manual describe cómo usar el Banco de Trabajo de Historias para investigar historias de ataques que utilizan sitios web de phishing.

Visión General

Este manual describe un enfoque sistemático para que los ingenieros SOC investiguen posibles incidentes de seguridad relacionados con sitios web utilizados para ataques de phishing. Proporciona un marco para reunir información inicial, analizar el tráfico de red y sacar conclusiones sobre la naturaleza de la amenaza.

Reuniendo Información Inicial sobre la Amenaza

Utiliza el widget de Detalles en la historia para reunir información básica sobre la potencial amenaza. Revisa la Descripción de la historia y otros datos para decidir si se requiere una investigación adicional. Además, la sección de Historias Similares muestra otras historias que comparten indicadores y observables similares.

gathering-info.png

Haz clic en Generar Resumen de IA para obtener una descripción en lenguaje natural de la historia que proporciona un contexto enriquecido y te ayuda a evaluar rápidamente la historia.

XDR_Phishing_Playbook_-_AI_Summary.png

Utiliza el widget de Fuente para revisar datos sobre el dispositivo afectado por este ataque.

source.png

También puedes usar el Catálogo de Indicaciones para obtener más información (como el ID de Indicación), y enfocar la investigación basada en tu consulta.

Entendiendo la Distribución del Ataque de Phishing

El gráfico de Distribución del Ataque puede ayudar a entender la naturaleza del tráfico, ataques periódicos que se asemejan a un comportamiento de bot, una ocurrencia de una sola vez u otras características.

Para los ataques de phishing, la distribución del tráfico generalmente consistirá en una baja cantidad de flujos, o una ocurrencia de una sola vez, con un gráfico que se parece a esto:

XDR_Phishing_Playbook_-_attack_distribution.png

Determinando la Etapa del Ataque de Phishing

Para investigar adecuadamente un posible ataque de phishing, es importante primero identificar en qué etapa se detectó el ataque. Los servicios de Seguridad de Cato detectan ataques de phishing en las siguientes etapas diferentes:

  • Bloquear Acceso - Cato identifica el destino de navegación como un sitio de phishing y bloquea el acceso al sitio

  • Bloquear Envío de Credenciales - Cuando un usuario accede a un sitio de phishing y el sitio se muestra en el navegador, Cato puede bloquear al usuario para que no ingrese credenciales

  • Detección Post-Compromiso - El servicio de Monitorización de Actividad Sospechosa (SAM) puede identificar cuando un usuario envía credenciales en sitios arriesgados y crea eventos que alertan al administrador sobre la posible brecha

Utiliza el widget de Acciones de Destino para ver los eventos que se relacionan con la historia y encontrar información para determinar en qué etapa se detectó el intento de phishing, y si fue bloqueado. El campo Nombre de la Amenaza puede indicar en qué punto se detectó el ataque.

Este es un ejemplo de un evento que muestra un bloqueo de IPS en la presentación de credenciales en un sitio de phishing:

XDR_Phishing_Playbook_-_credential_submission.png

Investigando Ataques de Phishing en Diferentes Etapas

Después de determinar la etapa en la que se detectó el posible ataque, sigue los pasos de investigación descritos a continuación para la detección en esa etapa.

Cuando el Acceso al Sitio fue Bloqueado

Esta sección describe un enfoque para verificar que el sitio web bloqueado es un sitio de phishing. Esta parte de la investigación se centra principalmente en el objetivo.

Objetivos

La sección de Objetivos te permite examinar los objetivos identificados para conocer más sobre su potencial intención y la probabilidad de que el objetivo sea malicioso:

  • Evaluar el puntaje malicioso de Cato

  • Examinar la popularidad de Cato

  • Considerar categorías asociadas de Cato

  • Revisar el número de fuentes de inteligencia de amenazas vinculadas al objetivo

Un indicador especialmente importante para ataques de phishing es la Fecha de Creación del dominio. Si la fecha es reciente, es más probable que el sitio sea malicioso.

XDR_Phishing_Playbook_-_target_creation_date.png

Usando Enlaces de Objetivo para Buscar Fuentes Externas

A estas alturas, deberías tener un sólido entendimiento de la actividad capturada en esta historia, los Enlaces de Objetivo te ayudan a realizar una búsqueda externa en fuentes confiables para contexto histórico y señales de comportamiento malicioso. Correlacionar estos datos para identificar conexiones con otras entidades y posibles enlaces a actores de amenazas conocidos, campañas o técnicas.

Flujos Relacionados con el Ataque

Utiliza la sección de Flujos Relacionados con el Ataque para examinar flujos de datos no procesados relacionados con la historia.

Analiza puntos de datos suplementarios de estos flujos, incluyendo URLs, agentes de usuario, nombres de archivos y otros atributos relevantes, y compáralos con los hallazgos del paso de investigación previo para revelar posibles correlaciones.

Conclusión

En la mayoría de los casos de acceso bloqueado a un sitio de phishing, la clasificación correcta para la historia es Navegación a un Sitio de Phishing.

Acciones Recomendadas

  1. Verifica con la víctima si el ataque fue un intento de phishing dirigido específicamente a ellos (usando un nombre privado, información privada, etc.).

    Si no, asegúrate de que ningún otro empleado sea víctima de la misma campaña de phishing.

  2. Si la fuente del intento de phishing es por correo electrónico y conocida por el usuario, mitiga el ataque utilizando la plataforma de correo electrónico de tu organización para reportar y bloquear la dirección de origen.

  3. Si la fuente del intento de phishing es desconocida, realiza un escaneo completo de Protección de Endpoint (Antivirus, EPP, EDR, etc.) y elimina cualquier programa o extensión del navegador desconocida de la máquina infectada.

Cuando el Envío de Credenciales fue Bloqueado

Esta sección describe un enfoque para verificar que hubo un intento de enviar credenciales a un sitio web de phishing. Esta parte de la investigación se centra principalmente en el objetivo detectado y la URL.

Objetivos

La sección de Objetivos te permite examinar los objetivos identificados para conocer más sobre su potencial intención y la probabilidad de que el objetivo sea malicioso:

  • Evaluar el puntaje malicioso de Cato

  • Examinar la popularidad de Cato

  • Considerar categorías asociadas de Cato

  • Revisar el número de fuentes de inteligencia de amenazas vinculadas al objetivo

Un indicador especialmente importante para ataques de phishing es la Fecha de Creación del dominio. Si la fecha es reciente, es más probable que el sitio sea malicioso.

XDR_Phishing_Playbook_-_target_creation_date.png

Usando Enlaces de Objetivo para Buscar Fuentes Externas

A estas alturas, deberías tener un sólido entendimiento de la actividad capturada en esta historia, los Enlaces de Objetivo te ayudan a realizar una búsqueda externa en fuentes confiables para contexto histórico y señales de comportamiento malicioso. Correlacionar estos datos para identificar conexiones con otras entidades y posibles enlaces a actores de amenazas conocidos, campañas o técnicas.

Identificando el Referente

En ataques de phishing, el objetivo con el que se comunica primero a menudo no es el sitio malicioso en sí, sino un sitio referente, es decir, un sitio que contiene el enlace al sitio malicioso. El sitio referente aparece en la sección de Flujos Relacionados con el Ataque en la columna Referente.

XDR_Phishing_Playbook_-_referrer.png

Verificando el Referente con la Búsqueda de Dominio

Después de identificar un referente, puedes usar Búsqueda de Dominio para investigar el dominio. Baja Popularidad y un alto Puntaje Malicioso indican un dominio malicioso.

XDR_Phishing_Playbook_-_domain_lookup.png

Flujos Relacionados con el Ataque

Utiliza la sección de Flujos Relacionados con el Ataque para examinar flujos de datos no procesados relacionados con la historia.

Analiza puntos de datos suplementarios de estos flujos, incluyendo URLs, agentes de usuario, nombres de archivos y otros atributos relevantes, y compáralos con los hallazgos del paso de investigación previo para revelar posibles correlaciones.

Cuando investigues una URL, es importante verificar si contiene algún dato sensible (ten en cuenta que en muchos casos las URLs están codificadas y deben ser decodificadas para acceder a todos los datos que contienen). También recomendamos verificar herramientas externas para patrones de URL similares para obtener más información sobre el tráfico detectado.

Nota: Cuando realices una investigación, recomendamos que no accedas a sitios relacionados con phishing sospechosos.

Conclusión

En la mayoría de los casos de envío de credenciales bloqueado a un sitio de phishing, la clasificación correcta para la historia es Intento de Envío de Credenciales.

Acciones Recomendadas

  1. Si se filtran datos sensibles, cambia la contraseña de los servicios relevantes y considera iniciar un cierre de sesión completo de todos los servicios.

  2. Asegúrate de que no se descarguen y ejecuten archivos maliciosos.

  3. Verifica con la víctima si el ataque fue un intento de phishing dirigido específicamente a ellos (usando un nombre privado, información privada, etc.).

    Si no, asegúrate de que ningún otro empleado sea víctima de la misma campaña de phishing.

  4. Si la fuente del intento de phishing es por correo electrónico y conocida por el usuario, mitiga el ataque utilizando la plataforma de correo electrónico de tu organización para reportar y bloquear la dirección de origen.

  5. Si la fuente del intento de phishing es desconocida, realiza un escaneo completo de Protección de Endpoint (Antivirus, EPP, EDR, etc.) y elimina cualquier programa o extensión del navegador desconocida de la máquina infectada.

Cuando el Ataque fue Detectado Post-Compromiso

Esta sección describe un enfoque para verificar que hubo envío de credenciales a un sitio web de phishing. Esta parte de la investigación se centra principalmente en el objetivo detectado y el referente (un sitio que contiene el enlace al sitio malicioso).

Objetivos

La sección de Objetivos te permite examinar los objetivos identificados para conocer más sobre su potencial intención y la probabilidad de que el objetivo sea malicioso:

  • Evaluar el puntaje malicioso de Cato

  • Examinar la popularidad de Cato

  • Considerar categorías asociadas de Cato

  • Revisar el número de fuentes de inteligencia de amenazas vinculadas al objetivo

Un indicador especialmente importante para ataques de phishing es la Fecha de Creación del dominio. Si la fecha es reciente, es más probable que el sitio sea malicioso.

XDR_Phishing_Playbook_-_target_creation_date.png

Usando Enlaces de Objetivo para Buscar Fuentes Externas

A estas alturas, deberías tener un sólido entendimiento de la actividad capturada en esta historia, los Enlaces de Objetivo te ayudan a realizar una búsqueda externa en fuentes confiables para contexto histórico y señales de comportamiento malicioso. Correlacionar estos datos para identificar conexiones con otras entidades y posibles enlaces a actores de amenazas conocidos, campañas o técnicas.

Identificando el Referente

En ataques de phishing, el objetivo con el que se comunica primero a menudo no es el sitio malicioso en sí, sino un sitio referente, es decir, un sitio que contiene el enlace al sitio malicioso. El sitio referente aparece en la sección de Flujos Relacionados con el Ataque en la columna Referente.

XDR_Phishing_Playbook_-_referrer.png

Verificando el Referente con la Búsqueda de Dominio

Después de identificar un remitente, puede utilizar búsqueda de dominios para investigar el dominio. Baja Popularidad y una alta Puntuación Maliciosa indican un dominio malicioso.

XDR_Phishing_Playbook_-_domain_lookup.png

Flujos Relacionados con Ataques

Use la sección Flujos Relacionados con Ataques para examinar flujos de datos no procesados relacionados con la historia.

Analice puntos de datos complementarios de estos flujos, incluidos URLs, agentes de usuario, nombres de archivos y otros atributos relevantes, y compárelos con los hallazgos de la etapa de investigación previa para revelar posibles correlaciones.

Al investigar una URL, es importante verificar si contiene datos sensibles (tenga en cuenta que en muchos casos las URLs están codificadas y necesitan ser decodificadas para acceder a todos los datos que contienen). También recomendamos verificar herramientas externas para patrones de URL similares para obtener más información sobre el tráfico detectado.

Nota: Al realizar una investigación, recomendamos que no acceda a sitios sospechosos relacionados con phishing.

Conclusión

Para la mayoría de los casos de detección de envío de credenciales a un sitio de phishing después del compromiso, la clasificación correcta para la historia es Envío de Credenciales.

Acciones Recomendadas

  1. Si se filtran datos sensibles, cambie la contraseña de los servicios relevantes y considere iniciar una desconexión forzada de todos los servicios.

  2. Asegúrese de que no se descarguen y ejecuten archivos maliciosos.

  3. Verifique con la víctima si el ataque fue un intento de phishing dirigido específicamente a ellos (usando un nombre privado, información privada, etc.).

    Si no, asegúrese de que ningún otro empleado fue víctima de la misma campaña de phishing.

  4. Si la fuente del intento de phishing es a través de correo electrónico y es conocida por el usuario, mitigue el ataque usando su plataforma de correo electrónico organizacional para informar y bloquear la dirección de origen.

  5. Si la fuente del intento de phishing es desconocida, realice un escaneo completo de Protección del Punto Final (Antivirus, EPP, EDR, etc.) y elimine cualquier programa y extensión de navegador desconocido de la máquina infectada.

  6. Si el tráfico identificado no fue bloqueado, cree una regla de Cortafuegos de Internet para bloquear el objetivo.

¿Fue útil este artículo?

Usuarios a los que les pareció útil: 0 de 0

0 comentarios