Este manual descreve como usar a Bancada de Trabalho de Histórias para investigar histórias de ataques que utilizam sites de phishing.
Este manual delineia uma abordagem sistemática para engenheiros SOC investigarem possíveis incidentes de segurança relacionadas a sites usados em ataques de phishing. Ele fornece uma estrutura para coletar informações iniciais, analisar o tráfego de rede e tirar conclusões sobre a natureza da ameaça.
Use o widget Detalhes na história para reunir informações básicas sobre a possível ameaça. Revise a Descrição da história e outros dados para decidir se é necessária uma investigação mais aprofundada. Além disso, a seção Histórias Similares mostra outras histórias que compartilham indicadores e observáveis semelhantes.
Clique em Gerar Resumo de IA para uma descrição em linguagem natural da história, que fornece um contexto rico e ajuda a avaliar rapidamente a história.
Use o widget Fonte para revisar dados sobre o dispositivo impactado por este ataque.
Você também pode usar o Catálogo de Indicações para obter mais informações (como o ID de Indicação) e focar na investigação com base em sua consulta.
O gráfico de Distribuição de Ataques pode ajudar a entender a natureza do tráfego, ataques periódicos que se assemelham ao comportamento de bots, uma ocorrência única ou outras características.
Para ataques de phishing, a distribuição do tráfego geralmente consiste em uma baixa quantidade de fluxos, ou uma ocorrência única, com um gráfico que se parece com este:
Para investigar adequadamente um potencial ataque de phishing, é importante identificar primeiro em qual estágio o ataque foi detectado. Os serviços de segurança da Cato detectam ataques de phishing nos seguintes estágios diferentes:
-
Bloquear Acesso - Cato identifica o destino de navegação como um site de phishing e bloqueia o acesso ao site
-
Bloquear Envio de Credenciais - Quando um usuário acessa um site de phishing e o site é renderizado no navegador, Cato pode bloquear o usuário de inserir credenciais
-
Detecção Pós-Comprometimento - O serviço de Monitoramento de Atividade Suspeita (SAM) pode identificar quando um usuário envia credenciais em sites de risco e criar eventos que alertam o administrador para uma possível violação
Use o widget Ações de Alvo para ver os eventos que se relacionam à história e encontrar informações para determinar em qual estágio a tentativa de phishing foi detectada e se foi bloqueada. O campo Nome da Ameaça pode indicar em que ponto o ataque foi detectado.
Este é um exemplo de um evento mostrando um bloqueio de envio de credenciais por IPS em um site de phishing:
Após determinar o estágio em que o potencial ataque foi detectado, siga os passos de investigação descritos abaixo para a detecção nesse estágio.
Esta seção descreve uma abordagem para verificar se o site bloqueado é um site de phishing. Esta parte da investigação foca principalmente no alvo.
A seção Alvos permite examinar os alvos identificados para saber mais sobre sua intenção potencial e a probabilidade de que o alvo seja malicioso:
-
Avaliar a pontuação maliciosa da Cato
-
Examinar a popularidade da Cato
-
Considerar categorias associadas da Cato
-
Revisar o número de feeds de inteligência de ameaças vinculados ao alvo
Um indicador especialmente importante para ataques de phishing é a Data de Criação do domínio. Se a data for recente, é mais provável que o site seja malicioso.
Usando Links de Alvo para Pesquisar Fontes Externas
Até o momento, você deve ter uma compreensão sólida da atividade capturada nesta história, os Links de Alvo ajudam a realizar uma busca externa em fontes confiáveis por contexto histórico e sinais de comportamento malicioso. Correlacione esses dados para identificar conexões com outras entidades e possíveis links para atores de ameaças conhecidos, campanhas ou técnicas.
Use a seção Fluxos Relacionados ao Ataque para examinar fluxos de dados não processados relacionados à história.
Analise pontos de dados suplementares desses fluxos, incluindo URLs, agentes de usuário, nomes de arquivos e outros atributos relevantes, e compare-os com as descobertas do passo de investigação anterior para revelar possíveis correlações.
Para a maioria dos casos de acesso bloqueado a um site de phishing, a classificação correta para a história é Navegação para um Site de Phishing.
-
Verifique com a vítima se o ataque foi uma tentativa de spear phishing e foi especificamente direcionado a ela (usando um nome particular, informações privadas, etc.).
Se não, assegure-se de que nenhum outro funcionário tenha sido vítima da mesma campanha de phishing.
-
Se a fonte da tentativa de phishing for baseada em e-mail e conhecida pelo usuário, mitigue o ataque usando a plataforma de e-mail organizacional para relatar e bloquear o endereço de origem.
-
Se a fonte da tentativa de phishing for desconhecida, realize uma varredura completa de Proteção de Endpoint (Antivírus, EPP, EDR, etc.) e remova quaisquer programas desconhecidos e extensões de navegador da máquina infectada.
Esta seção descreve uma abordagem para verificar se houve tentativa de enviar credenciais a um site de phishing. Esta parte da investigação foca principalmente no alvo detectado e na URL.
A seção Alvos permite examinar os alvos identificados para saber mais sobre sua intenção potencial e a probabilidade de que o alvo seja malicioso:
-
Avaliar a pontuação maliciosa da Cato
-
Examinar a popularidade da Cato
-
Considerar categorias associadas da Cato
-
Revisar o número de feeds de inteligência de ameaças vinculados ao alvo
Um indicador especialmente importante para ataques de phishing é a Data de Criação do domínio. Se a data for recente, é mais provável que o site seja malicioso.
Usando Links de Alvo para Pesquisar Fontes Externas
Até o momento, você deve ter uma compreensão sólida da atividade capturada nesta história, os Links de Alvo ajudam a realizar uma busca externa em fontes confiáveis por contexto histórico e sinais de comportamento malicioso. Correlacione esses dados para identificar conexões com outras entidades e possíveis links para atores de ameaças conhecidos, campanhas ou técnicas.
Identificando o Referenciador
Em ataques de phishing, o alvo inicialmente comunicado frequentemente não é o site malicioso em si, mas um site referenciador, ou seja, um site que contém o link para o site malicioso. O site referenciador aparece na seção Fluxos Relacionados ao Ataque na coluna Referenciador.
Verificando o Referenciador com Pesquisa de Domínio
Após identificar um referenciador, você pode usar Pesquisa de Domínio para pesquisar o domínio. Baixa Popularidade e alta Pontuação Maliciosa indicam um domínio malicioso.
Use a seção Fluxos Relacionados ao Ataque para examinar fluxos de dados não processados relacionados à história.
Analise pontos de dados suplementares desses fluxos, incluindo URLs, agentes de usuário, nomes de arquivos e outros atributos relevantes, e compare-os com as descobertas do passo de investigação anterior para revelar possíveis correlações.
Ao investigar uma URL, é importante verificar se ela contém dados sensíveis (observe que, em muitos casos, as URLs são codificadas e precisam ser decodificadas para acessar todos os dados que contêm). Também recomendamos verificar ferramentas externas para padrões de URL semelhantes, a fim de obter mais informações sobre o tráfego detectado.
Nota: Ao realizar uma investigação, recomendamos que você não acesse sites suspeitos de phishing.
Para a maioria dos casos de envio de credenciais bloqueado a um site de phishing, a classificação correta para a história é Tentativa de Envio de Credenciais.
-
Se dados sensíveis forem vazados, troque a senha para os serviços relevantes e considere iniciar um log-off completo de todos os serviços.
-
Certifique-se de que nenhum arquivo malicioso seja baixado e executado.
-
Verifique com a vítima se o ataque foi uma tentativa de spear phishing e foi especificamente direcionado a ela (usando um nome particular, informações privadas, etc.).
Se não, assegure-se de que nenhum outro funcionário tenha sido vítima da mesma campanha de phishing.
-
Se a fonte da tentativa de phishing for baseada em e-mail e conhecida pelo usuário, mitigue o ataque usando a plataforma de e-mail organizacional para relatar e bloquear o endereço de origem.
-
Se a fonte da tentativa de phishing for desconhecida, realize uma varredura completa de Proteção de Endpoint (Antivírus, EPP, EDR, etc.) e remova quaisquer programas desconhecidos e extensões de navegador da máquina infectada.
Esta seção descreve uma abordagem para verificar se houve submissão de credenciais a um site de phishing. Esta parte da investigação foca principalmente no alvo detectado e no referenciador (um site que contém o link para o site malicioso).
A seção Alvos permite examinar os alvos identificados para saber mais sobre sua intenção potencial e a probabilidade de que o alvo seja malicioso:
-
Avaliar a pontuação maliciosa da Cato
-
Examinar a popularidade da Cato
-
Considerar categorias associadas da Cato
-
Revisar o número de feeds de inteligência de ameaças vinculados ao alvo
Um indicador especialmente importante para ataques de phishing é a Data de Criação do domínio. Se a data for recente, é mais provável que o site seja malicioso.
Usando Links de Alvo para Pesquisar Fontes Externas
Até o momento, você deve ter uma compreensão sólida da atividade capturada nesta história, os Links de Alvo ajudam a realizar uma busca externa em fontes confiáveis por contexto histórico e sinais de comportamento malicioso. Correlacione esses dados para identificar conexões com outras entidades e possíveis links para atores de ameaças conhecidos, campanhas ou técnicas.
Identificando o Referenciador
Em ataques de phishing, o alvo inicialmente comunicado frequentemente não é o site malicioso em si, mas um site referenciador, ou seja, um site que contém o link para o site malicioso. O site referenciador aparece na seção Fluxos Relacionados ao Ataque na coluna Referenciador.
Verificando o Referenciador com Pesquisa de Domínio
Após identificar um referenciador, você pode usar Domain Lookup para pesquisar o local. Baixa Popularidade e alta Pontuação de Malícia indicam um local malicioso.
Use a seção Fluxos Relacionados a Ataques para examinar fluxos de dados não processados relacionados à história.
Analise pontos de dados suplementares desses fluxos, incluindo URLs, agentes de usuário, nomes de arquivos e outros atributos relevantes, e compare-os com os achados da etapa anterior da investigação para revelar potenciais correlações.
Ao investigar uma URL, é importante verificar se ela contém dados sensíveis (observe que, em muitos casos, as URLs são codificadas e precisam ser decodificadas para acessar todos os dados que contém). Também recomendamos verificar ferramentas externas para padrões de URLs semelhantes para obter mais informações sobre o tráfego detectado.
Nota: Ao conduzir uma investigação, recomendamos que você não acesse sites suspeitos relacionados a phishing.
Para a maioria dos casos de detecção pós-comprometimento de envio de credenciais para um site de phishing, a correta classificação para a história é Envio de Credenciais.
-
Se dados sensíveis forem vazados, altere a senha dos serviços relevantes e considere iniciar um log-off completo de todos os serviços.
-
Certifique-se de que nenhum arquivo malicioso seja baixado e executado.
-
Verififique com a vítima se o ataque foi uma tentativa de spear phishing e foi especificamente direcionado a ela (usando nome privado, informações privadas, etc.).
Caso contrário, certifique-se de que nenhum outro funcionário foi vítima da mesma campanha de phishing.
-
Se a fonte da tentativa de phishing for baseada em email e conhecida pelo usuário, mitigue o ataque usando sua plataforma de email organizacional para relatar e bloquear o endereço de origem.
-
Se a fonte da tentativa de phishing for desconhecida, execute uma varredura completa de Proteção de Endpoint (Anti-Vírus, EPP, EDR, etc.) e remova quaisquer programas desconhecidos e extensões de navegador da máquina infectada.
-
Se o tráfego identificado não foi bloqueado, crie uma regra de Firewall de Internet para bloquear o alvo.
0 comentário
Por favor, entre para comentar.