Ce playbook décrit comment utiliser le Workbench des Histoires pour enquêter sur des histoires d'attaques utilisant des sites web de phishing.
Ce playbook décrit une approche systématique pour les ingénieurs SOC afin d'enquêter sur les incidents de sécurité potentiels liés aux sites web utilisés pour les attaques par hameçonnage. Il fournit un cadre pour rassembler les informations initiales, analyser le trafic réseau et tirer des conclusions sur la nature de la menace.
Utilisez le widget Détails dans l'histoire pour collecter des informations de base sur la menace potentielle. Examinez la Description de l'histoire et d'autres données pour décider si une enquête plus approfondie est nécessaire. De plus, la section Histoires Similaires montre d'autres histoires partageant des indicateurs et des observables similaires.
Cliquez sur Générer un Résumé IA pour une description en langage naturel de l'histoire fournissant un contexte riche et vous aidant à évaluer rapidement l'histoire.
Utilisez le widget Source pour examiner les données concernant le périphérique affecté par cette attaque.
Vous pouvez également utiliser le Catalogue des Indications pour plus d'informations (telles que l'ID de l'Indication), et concentrer l'enquête sur la base de votre requête.
Le graphique Distribution de l'Attaque peut aider à comprendre la nature du trafic, des attaques périodiques ressemblant à un comportement de bot, un événement unique, ou d'autres caractéristiques.
Pour les attaques de phishing, la distribution du trafic consistera généralement en une faible quantité de flux, ou un événement unique, avec un graphique ressemblant à ceci :
Pour enquêter correctement sur une attaque de phishing potentielle, il est important d'abord d'identifier à quelle étape l'attaque a été détectée. Les services de Sécurité de Cato détectent les attaques de phishing aux différentes étapes suivantes :
-
Blocage de l'Accès - Cato identifie la destination de navigation comme un site de phishing et bloque l'accès au site
-
Blocage de la Soumission des Identifiants - Lorsqu'un utilisateur accède à un site de phishing et que le site est rendu dans le navigateur, Cato peut empêcher l'utilisateur de saisir des identifiants
-
Détection Post-Compromission - Le service de Suivi des Activités Suspectes (SAM) peut identifier lorsqu'un utilisateur soumet des identifiants sur des sites à risque, et crée des événements alertant l'admin de la violation potentielle
Utilisez le widget Actions Cibles pour voir les événements qui se rapportent à l'histoire et trouver des informations pour déterminer à quelle étape la tentative de phishing a été détectée, et si elle a été bloquée. Le champ Nom de la Menace peut indiquer à quel point l'attaque a été détectée.
Voici un exemple d'un événement montrant un blocage IPS de soumission d'identifiants sur un site de phishing :
Après avoir déterminé l'étape à laquelle l'attaque potentielle a été détectée, suivez les étapes d'enquête décrites ci-dessous pour la détection à cette étape.
Cette section décrit une approche pour vérifier que le site web bloqué est un site de phishing. Cette partie de l'enquête se concentre principalement sur la cible.
La section Cibles vous permet d'examiner les cibles identifiées pour en savoir plus sur leur intention potentielle et la probabilité que la cible soit malveillante :
-
Évaluez le score malveillant de Cato
-
Examinez la popularité de Cato
-
Considérez les catégories associées à Cato
-
Examinez le nombre de flux de renseignements sur les menaces liés à la cible
Un indicateur particulièrement important pour les attaques de phishing est la Date de Création du domaine. Si la date est récente, il est plus probable que le site soit malveillant.
Utilisation des Liens Cibles pour Rechercher des Sources Externes
Désormais, vous devriez avoir une solide compréhension de l'activité capturée dans cette histoire, les Liens Cibles vous aident à effectuer une recherche externe sur des sources réputées pour un contexte historique et des signes de comportement malveillant. Corrélez ces données pour identifier des connexions avec d'autres entités et des liens possibles avec des acteurs de menace connus, des campagnes ou des techniques.
Utilisez la section Flux Liés à l'Attaque pour examiner les flux de données non traités liés à l'histoire.
Analysez les points de données supplémentaires de ces flux, y compris les URL, les user-agents, les noms de fichiers, et d'autres attributs pertinents, et comparez-les aux résultats de l'étape précédente de l'enquête pour révéler des corrélations potentielles.
Dans la plupart des cas d'accès bloqué à un site de phishing, la classification correcte pour l'histoire est Navigation vers un Site de Phishing.
-
Vérifiez avec la victime si l'attaque était une tentative de spear phishing et visait spécifiquement à elle (en utilisant un nom privé, des informations privées, etc.).
Si ce n'est pas le cas, assurez-vous qu'aucun autre employé n'a été victime de la même campagne de phishing.
-
Si la source de la tentative de phishing est basée sur un e-mail et connue de l'utilisateur, atténuez l'attaque en utilisant votre plateforme de messagerie organisationnelle pour signaler et bloquer l'adresse source.
-
Si la source de la tentative de phishing est inconnue, effectuez une analyse complète de Protection Endpoint (Anti-Virus, EPP, EDR, etc.) et supprimez tous les programmes inconnus et extensions de navigateur de la machine infectée.
Cette section décrit une approche pour vérifier qu'il y a eu une tentative de soumission des identifiants à un site web de phishing. Cette partie de l'enquête se concentre principalement sur la cible détectée et l'URL.
La section Cibles vous permet d'examiner les cibles identifiées pour en savoir plus sur leur intention potentielle et la probabilité que la cible soit malveillante :
-
Évaluez le score malveillant de Cato
-
Examinez la popularité de Cato
-
Considérez les catégories associées à Cato
-
Examinez le nombre de flux de renseignements sur les menaces liés à la cible
Un indicateur particulièrement important pour les attaques de phishing est la Date de Création du domaine. Si la date est récente, il est plus probable que le site soit malveillant.
Utilisation des Liens Cibles pour Rechercher des Sources Externes
Désormais, vous devriez avoir une solide compréhension de l'activité capturée dans cette histoire, les Liens Cibles vous aident à effectuer une recherche externe sur des sources réputées pour un contexte historique et des signes de comportement malveillant. Corrélez ces données pour identifier des connexions avec d'autres entités et des liens possibles avec des acteurs de menace connus, des campagnes ou des techniques.
Identification du Référent
Dans les attaques de phishing, la cible avec qui la première communication est souvent n'est pas le site malveillant lui-même, mais un site référent, c'est-à-dire un site qui contient le lien vers le site malveillant. Le site référent apparaît dans la section Flux Liés à l'Attaque dans la colonne Référent.
Vérification du Référent avec la Recherche de Domaine
Après avoir identifié un référent, vous pouvez utiliser Recherche de Domaine pour rechercher le domaine. Une faible Popularité et un score Malveillant élevé indiquent un domaine malveillant.
Utilisez la section Flux Liés à l'Attaque pour examiner les flux de données non traités liés à l'histoire.
Analysez les points de données supplémentaires de ces flux, y compris les URL, les user-agents, les noms de fichiers, et d'autres attributs pertinents, et comparez-les aux résultats de l'étape précédente de l'enquête pour révéler des corrélations potentielles.
Lors de l'enquête sur une URL, il est important de vérifier si elle contient des données sensibles (notez que dans de nombreux cas les URLs sont codées et doivent être décodées pour accéder à toutes les données qu'elles contiennent). Nous recommandons également de vérifier des outils externes pour des motifs d'URL similaires afin d'obtenir un aperçu supplémentaire du trafic détecté.
Note : Lorsqu'on effectue une enquête, nous recommandons de ne pas accéder à des sites suspects liés au phishing.
Dans la plupart des cas de soumission d'identifiants bloquée vers un site de phishing, la classification correcte pour l'histoire est Tentative de Soumission d'Identifiants.
-
Si des données sensibles sont divulguées, changez le mot de passe des services concernés et envisagez de procéder à une déconnexion forcée de tous les services.
-
Assurez-vous qu'aucun fichier malveillant n'est téléchargé et exécuté.
-
Vérifiez avec la victime si l'attaque était une tentative de spear phishing et visait spécifiquement à elle (en utilisant un nom privé, des informations privées, etc.).
Si ce n'est pas le cas, assurez-vous qu'aucun autre employé n'a été victime de la même campagne de phishing.
-
Si la source de la tentative de phishing est basée sur un e-mail et connue de l'utilisateur, atténuez l'attaque en utilisant votre plateforme de messagerie organisationnelle pour signaler et bloquer l'adresse source.
-
Si la source de la tentative de phishing est inconnue, effectuez une analyse complète de Protection Endpoint (Anti-Virus, EPP, EDR, etc.) et supprimez tous les programmes inconnus et extensions de navigateur de la machine infectée.
Cette section décrit une approche pour vérifier la soumission des identifiants à un site web de phishing. Cette partie de l'enquête se concentre principalement sur la cible détectée et le référent (un site qui contient le lien vers le site malveillant).
La section Cibles vous permet d'examiner les cibles identifiées pour en savoir plus sur leur intention potentielle et la probabilité que la cible soit malveillante :
-
Évaluez le score malveillant de Cato
-
Examinez la popularité de Cato
-
Considérez les catégories associées à Cato
-
Examinez le nombre de flux de renseignements sur les menaces liés à la cible
Un indicateur particulièrement important pour les attaques de phishing est la Date de Création du domaine. Si la date est récente, il est plus probable que le site soit malveillant.
Utilisation des Liens Cibles pour Rechercher des Sources Externes
Désormais, vous devriez avoir une solide compréhension de l'activité capturée dans cette histoire, les Liens Cibles vous aident à effectuer une recherche externe sur des sources réputées pour un contexte historique et des signes de comportement malveillant. Corrélez ces données pour identifier des connexions avec d'autres entités et des liens possibles avec des acteurs de menace connus, des campagnes ou des techniques.
Identification du Référent
Dans les attaques de phishing, la cible avec qui la première communication est souvent n'est pas le site malveillant lui-même, mais un site référent, c'est-à-dire un site qui contient le lien vers le site malveillant. Le site référent apparaît dans la section Flux Liés à l'Attaque dans la colonne Référent.
Vérification du Référent avec la Recherche de Domaine
Après avoir identifié un référent, vous pouvez utiliser Domain Lookup pour rechercher le domaine. Une Popularité faible et un Score Malveillant élevé indiquent un domaine malveillant.
Utilisez la section Flux liés à l'attaque pour examiner les flux de données non traités liés à l'histoire.
Analysez les points de données supplémentaires de ces flux, y compris les URL, les user-agents, les noms de fichiers et d'autres attributs pertinents, et comparez-les aux résultats de l'étape précédente de l'enquête pour révéler des corrélations potentielles.
Lors de l'enquête sur une URL, il est important de vérifier si elle contient des données sensibles (notez que dans de nombreux cas, les URL sont encodées et doivent être décodées pour accéder à toutes les données qu'elles contiennent). Nous recommandons également de vérifier les outils externes pour des motifs d'URL similaires afin d'obtenir plus d'informations sur le trafic détecté.
Note : Lors de la réalisation d'une enquête, nous recommandons de ne pas accéder à des sites suspects liés au phishing.
Pour la plupart des cas de détection post-compromis de soumission de documents d'identification à un site de phishing, la classification correcte pour l'histoire est Soumission de documents d'identification.
-
Si des données sensibles sont divulguées, changez le mot de passe des services concernés et envisagez de procéder à une déconnexion forcée de tous les services.
-
Assurez-vous qu'aucun fichier malveillant n'est téléchargé et exécuté.
-
Vérifiez avec la victime si l'attaque était une tentative de spear phishing et était spécifiquement ciblée sur eux (en utilisant un nom privé, des informations privées, etc.).
Sinon, assurez-vous qu'aucun autre employé n'a été victime de la même campagne de phishing.
-
Si la source de la tentative de phishing est basée sur l'email et connue de l'utilisateur, atténuez l'attaque en utilisant votre plateforme d'email organisationnelle pour signaler et bloquer l'adresse source.
-
Si la source de la tentative de phishing est inconnue, effectuez un scan complet de protection des points d'extrémité (Anti-Virus, EPP, EDR, etc.) et supprimez tous les programmes et extensions de navigateur inconnus de la machine infectée.
-
Si le trafic identifié n'a pas été bloqué, créez une règle de Pare-feu Internet pour bloquer la cible.
0 commentaire
Vous devez vous connecter pour laisser un commentaire.