이 플레이북은 스토리 워크벤치를 사용하여 피싱 웹사이트를 활용한 공격 스토리를 조사하는 방법을 설명합니다.
이 플레이북은 SOC 엔지니어들이 피싱 공격에 사용된 웹사이트와 관련된 잠재적인 보안 사건을 조사하는 체계적인 접근 방법을 개략적으로 설명합니다. 처음 정보를 수집하고 네트워크 트래픽을 분석하며, 위협의 성격에 대한 결론을 도출하기 위한 프레임워크를 제공합니다.
스토리에서 세부 정보 위젯을 사용하여 잠재적인 위협에 대한 기본 정보를 수집합니다. 스토리의 설명 및 기타 데이터를 검토하여 추가 조사가 필요한지 결정합니다. 또한, 유사 스토리 섹션에서는 비슷한 지표와 관측치를 공유하는 다른 스토리를 보여줍니다.
스토리의 풍부한 컨텍스트를 제공하고 신속한 평가에 도움이 되는 자연어 스토리 설명을 위해 AI 요약 생성을 클릭합니다.
소스 위젯을 사용하여 이 공격의 영향을 받은 장치에 대한 데이터를 검토합니다.
추가 정보(예: Indication ID)를 얻기 위해 Indications Catalog를 활용하고 쿼리를 기반으로 조사의 초점을 맞춥니다.
공격 분포 그래프는 트래픽의 성질, 봇 행동을 닮은 주기적 공격, 일회성 사건 또는 기타 특징을 이해하는 데 도움이 됩니다.
피싱 공격의 경우, 트래픽 분포는 일반적으로 적은 양의 흐름이거나 일회성 사건으로 구성되며, 다음과 유사한 그래프로 나타납니다:
잠재적인 피싱 공격을 적절하게 조사하려면 먼저 공격이 어느 단계에서 감지되었는지를 파악하는 것이 중요합니다. Cato의 보안 서비스는 피싱 공격을 다음의 다른 단계에서 감지합니다:
-
액세스 차단 - Cato는 브라우징 목적지를 피싱 사이트로 식별하고 사이트에 대한 액세스를 차단합니다.
-
자격 증명 제출 차단 - 사용자가 피싱 사이트에 접속하고 사이트가 브라우저에 렌더링될 때, Cato는 사용자가 자격 증명을 입력하는 것을 차단할 수 있습니다.
-
타협 후 감지 - 의심스러운 활동 모니터링(SAM) 서비스는 사용자가 위험한 사이트에 자격 증명을 제출할 때 이를 식별하고 관리자가 잠재적인 침해를 알리는 이벤트를 생성합니다.
피싱 시도가 감지된 단계 및 차단 여부를 결정하기 위해 타겟 액션 위젯을 사용하여 스토리와 관련된 이벤트를 확인합니다. 위협 이름 필드는 공격이 어느 시점에 감지되었는지를 나타낼 수 있습니다.
이벤트가 피싱 사이트에서 자격 증명 제출 차단을 나타내는 IPS 차단의 예입니다:
잠재적인 공격이 감지된 단계를 결정한 후, 해당 단계에서의 감지를 위한 아래 설명된 조사 단계를 따르십시오.
이 섹션은 차단된 웹사이트가 피싱 사이트인지 확인하기 위한 접근 방법을 설명합니다. 이 조사의 일부는 주로 대상에 초점을 맞춥니다.
대상 섹션을 통해 식별된 대상을 조사하여 그들의 잠재적 의도와 대상이 악성일 가능성을 배울 수 있습니다:
-
Cato의 악성 점수 평가
-
Cato의 인기 조사
-
관련 Cato 카테고리 고려
-
대상과 연결된 위협 인텔리전스 피드의 수를 검토
피싱 공격에 특히 중요한 지표는 도메인의 생성일입니다. 생성일이 최근인 경우, 사이트가 악의적일 가능성이 더 높습니다.
외부 소스로 검색 시_target 링크 활용
현재 이 스토리에 포착된 활동에 대해 확실한 이해를 가지고 있어야 하며, 대상 링크를 통해 역사적 컨텍스트와 악성 행위의 징후를 얻기 위해 신뢰할 수 있는 소스로 외부 검색을 수행하는 데 도움이 됩니다. 이 데이터를 상관 분석하여 다른 엔티티와의 연결 및 알려진 위협 행위자, 캠페인 또는 기법과의 가능성 있는 연결점을 식별합니다.
공격 관련 흐름 섹션을 사용하여 스토리와 관련된 비처리 데이터 흐름을 시험합니다.
이러한 흐름에서 URL, 사용자 에이전트, 파일 이름 및 기타 관련 속성을 포함한 보조 데이터 포인트를 분석하고 이전 조사 단계의 결과와 비교하여 잠재적인 상관관계를 드러냅니다.
-
피해자에게 공격이 스피어 피싱 시도였고 그 개인에게 구체적으로 타겟팅되었는지 확인하십시오(개인 이름, 개인 정보 등을 사용하여).
그렇지 않은 경우, 동일한 피싱 캠페인의 피해자가 된 다른 직원이 없었는지 확인하십시오.
-
피싱 시도의 출처가 사용자에게 알려진 이메일 기반일 경우, 조직의 이메일 플랫폼을 사용하여 출처 주소를 보고하고 차단하여 공격을 완화하십시오.
-
피싱 시도의 출처가 알 수 없는 경우, 전체 엔드포인트 보호 스캔(안티바이러스, EPP, EDR 등)을 수행하고 감염된 기기에서 알 수 없는 프로그램 및 브라우저 확장자를 제거하십시오.
이 섹션은 피싱 웹사이트에 자격 증명 제출 시도가 있었는지 검증하기 위한 방법을 설명합니다. 이 조사의 일부는 주로 탐지된 대상 및 URL에 초점을 맞춥니다.
대상 섹션을 통해 식별된 대상을 조사하여 그들의 잠재적 의도와 대상이 악성일 가능성을 배울 수 있습니다:
-
Cato의 악성 점수 평가
-
Cato의 인기 조사
-
관련 Cato 카테고리 고려
-
대상과 연결된 위협 인텔리전스 피드의 수를 검토
피싱 공격에 특히 중요한 지표는 도메인의 생성일입니다. 생성일이 최근인 경우, 사이트가 악의적일 가능성이 더 높습니다.
외부 소스로 검색 시_target 링크 활용
현재 이 스토리에 포착된 활동에 대해 확실한 이해를 가지고 있어야 하며, 대상 링크를 통해 역사적 컨텍스트와 악성 행위의 징후를 얻기 위해 신뢰할 수 있는 소스로 외부 검색을 수행하는 데 도움이 됩니다. 이 데이터를 상관 분석하여 다른 엔티티와의 연결 및 알려진 위협 행위자, 캠페인 또는 기법과의 가능성 있는 연결점을 식별합니다.
추천인 식별
피싱 공격에서 처음 소통하는 대상은 종종 악성 사이트 자체가 아닌 추천인 사이트입니다. 이는 악성 사이트로의 링크를 포함하는 사이트를 의미합니다. 추천인 사이트는 공격 관련 흐름 섹션 내 추천인 열에 표시됩니다.
도메인 조회로 추천인 확인
추천인을 식별한 후, 도메인 조회를 사용하여 도메인을 조사할 수 있습니다. 낮은 인기와 높은 악성 점수는 악의적인 도메인을 나타냅니다.
공격 관련 흐름 섹션을 사용하여 스토리와 관련된 비처리 데이터 흐름을 시험합니다.
이러한 흐름에서 URL, 사용자 에이전트, 파일 이름 및 기타 관련 속성을 포함한 보조 데이터 포인트를 분석하고 이전 조사 단계의 결과와 비교하여 잠재적인 상관관계를 드러냅니다.
URL 조사 시 중요한 것은 URL에 민감한 데이터가 포함되어 있는지를 확인하는 것입니다(많은 경우 URL은 인코딩되어 있으며, 포함된 모든 데이터를 액세스하기 위해 디코딩해야 함). 탐지된 트래픽에 대한 추가적인 인사이트를 얻기 위해 유사한 URL 패턴을 외부 도구에서 확인하는 것도 권장합니다.
참고: 조사를 수행할 때 의심스러운 피싱 관련 사이트에 접근하지 않는 것이 좋습니다.
-
민감한 데이터가 유출된 경우, 관련 서비스의 비밀번호를 변경하고 모든 서비스에서 하드 로그오프를 시작하는 것을 고려하십시오.
-
악성 파일이 다운로드되어 실행되지 않았는지 확인하십시오.
-
피해자에게 공격이 스피어 피싱 시도였고 그 개인에게 구체적으로 타겟팅되었는지 확인하십시오(개인 이름, 개인 정보 등을 사용하여).
그렇지 않은 경우, 동일한 피싱 캠페인의 피해자가 된 다른 직원이 없었는지 확인하십시오.
-
피싱 시도의 출처가 사용자에게 알려진 이메일 기반일 경우, 조직의 이메일 플랫폼을 사용하여 출처 주소를 보고하고 차단하여 공격을 완화하십시오.
-
피싱 시도의 출처가 알 수 없는 경우, 전체 엔드포인트 보호 스캔(안티바이러스, EPP, EDR 등)을 수행하고 감염된 기기에서 알 수 없는 프로그램 및 브라우저 확장자를 제거하십시오.
이 섹션은 피싱 웹사이트에 자격 증명 제출이 있었는지를 확인하기 위한 방법을 설명합니다. 이 조사의 일부는 주로 탐지된 대상 및 추천인(악성 사이트로의 링크를 포함하는 사이트)에 초점을 맞춥니다.
대상 섹션을 통해 식별된 대상을 조사하여 그들의 잠재적 의도와 대상이 악성일 가능성을 배울 수 있습니다:
-
Cato의 악성 점수 평가
-
Cato의 인기 조사
-
관련 Cato 카테고리 고려
-
대상과 연결된 위협 인텔리전스 피드의 수를 검토
피싱 공격에 특히 중요한 지표는 도메인의 생성일입니다. 생성일이 최근인 경우, 사이트가 악의적일 가능성이 더 높습니다.
외부 소스로 검색 시_target 링크 활용
현재 이 스토리에 포착된 활동에 대해 확실한 이해를 가지고 있어야 하며, 대상 링크를 통해 역사적 컨텍스트와 악성 행위의 징후를 얻기 위해 신뢰할 수 있는 소스로 외부 검색을 수행하는 데 도움이 됩니다. 이 데이터를 상관 분석하여 다른 엔티티와의 연결 및 알려진 위협 행위자, 캠페인 또는 기법과의 가능성 있는 연결점을 식별합니다.
추천인 식별
피싱 공격에서 처음 소통하는 대상은 종종 악성 사이트 자체가 아닌 추천인 사이트입니다. 이는 악성 사이트로의 링크를 포함하는 사이트를 의미합니다. 추천인 사이트는 공격 관련 흐름 섹션 내 추천인 열에 표시됩니다.
도메인 조회로 추천인 확인
추천인을 식별한 후 도메인 검색을 사용하여 도메인을 조사할 수 있습니다. Domain Lookup. 낮은 인기도와 높은 악의적 점수는 악의적인 도메인을 나타냅니다.
공격 관련 흐름 섹션을 사용하여 이야기와 관련된 미처리 데이터 흐름을 검사하세요.
이전 조사 단계 결과와 비교하여 잠재적 상관관계를 드러내기 위해 URL, 사용자 에이전트, 파일 이름 및 기타 관련 속성을 포함한 이러한 흐름의 부가 데이터 포인트를 분석하십시오.
URL을 조사할 때 그 안에 민감한 데이터가 포함되어 있는지 확인하는 것이 중요합니다(많은 경우 URL이 인코딩되어 있으며 그 안의 모든 데이터를 액세스하려면 디코딩해야 함을 유의하십시오). 감지된 트래픽에 대한 추가 통찰력을 얻기 위해 유사한 URL 패턴에 대한 외부 도구 확인을 권장합니다.
참고: 조사를 수행할 때, 의심스러운 피싱 관련 사이트에 접근하지 않는 것이 좋습니다.
-
민감한 데이터가 유출된 경우 관련 서비스의 비밀번호를 변경하고 모든 서비스에서 강제 로그오프를 고려하십시오.
-
악성 파일이 다운로드되어 실행되지 않았는지 확인하십시오.
-
공격이 스피어 피싱 시도였으며 특정 개인 이름, 민감 정보 등을 사용하여 그들을 대상으로 한 것인지 피해자와 확인하십시오.
그렇지 않은 경우, 다른 직원이 동일한 피싱 캠페인의 피해자가 되지 않았는지 확인하십시오.
-
피싱 시도의 출처가 이메일 기반이고 사용자가 알고 있는 경우, 조직 이메일 플랫폼을 사용하여 소스 주소를 보고하고 차단하여 공격을 완화하십시오.
-
피싱 시도의 출처가 알려지지 않은 경우, 전체 엔드포인트 보호 스캔(안티바이러스, EPP, EDR 등)을 수행하고 감염된 기계에서 알려지지 않은 프로그램 및 브라우저 확장을 제거하십시오.
-
감지된 트래픽이 차단되지 않은 경우, 대상을 차단하는 인터넷 방화벽 규칙을 만듭니다. Internet Firewall
댓글 0개
댓글을 남기려면 로그인하세요.