XOps Playbook по безопасности - Атака на фишинговый веб-сайт

Этот плейбук описывает, как использовать Рабочую область Историй для расследования историй о нападениях с использованием фишинговых сайтов.

Обзор

Этот плейбук очерчивает систематический подход для инженеров SOC, чтобы расследовать потенциальные инциденты безопасности, связанные с сайтами, использованными для фишинговых атак. Он предоставляет структуру для сбора начальной информации, анализа сетевого трафика и выработки выводов о природе угрозы.

Сбор начальной информации об угрозе

Используйте виджет Подробности в истории, чтобы собрать базовую информацию о потенциальной угрозе. Просмотрите Описание истории и другие данные, чтобы решить, требуется ли дальнейшее расследование. Кроме того, раздел Похожие инциденты показывает другие истории, которые содержат схожие индикаторы и наблюдения.

gathering-info.png

Нажмите Сгенерировать Сводку ИИ для получения описания истории на естественном языке, которое предоставляет богатый контекст и помогает быстро оценить историю.

XDR_Phishing_Playbook_-_AI_Summary.png

Используйте виджет Источник, чтобы просмотреть данные о устройстве, затронутом этой атакой.

source.png

Вы также можете использовать Каталог Индикаций для получения дополнительной информации (например, ID индикации) и сфокусируйте расследование на основе вашего запроса.

Понимание распределения атак для фишинговой атаки

График Распределение атак может помочь понять природу трафика, периодичность атак, напоминающих поведение бота, одноразовые инциденты или другие характеристики.

Для фишинговых атак распределение трафика обычно состоит из низкого количества потоков или одноразового инцидента, график будет выглядеть примерно так:

XDR_Phishing_Playbook_-_attack_distribution.png

Определение стадии фишинговой атаки

Для правильного расследования потенциальной фишинговой атаки важно сначала определить, на какой стадии была обнаружена атака. Службы безопасности Cato обнаруживают фишинговые атаки на различных стадиях:

  • Блокировка доступа - Cato идентифицирует конечный пункт обозревания как фишинговый сайт и блокирует доступ к сайту.

  • Блокировка ввода учетных данных - когда пользователь заходит на фишинговый сайт, который отображается в обозревателе, Cato может запретить пользователю вводить учетные данные.

  • Обнаружение после компрометации - служба Мониторинга Подозрительной Активности (SAM) может определить, когда пользователь вводит учетные данные на рискованных сайтах, и создает события, оповещающие администратора о потенциальном взломе.

Используйте виджет Действия по объекту, чтобы увидеть события, связанные с историей, и найти информацию для определения стадии, на которой была права атака, и была ли она заблокирована. Поле Имя угрозы может указать на то, в какой момент была обнаружена атака.

Это пример события, показывающего блокировку ввода учетных данных на фишинговом сайте с помощью IPS:

XDR_Phishing_Playbook_-_credential_submission.png

Исследование фишинговых атак на различных стадиях

После определения стадии, на которой была обнаружена потенциальная атака, следуйте шагам расследования, описанным ниже, для обнаружения на этой стадии.

Когда доступ к сайту был заблокирован

Этот раздел описывает подход для проверки, что заблокированный веб-сайт является фишинговым. Эта часть расследования сосредоточена главным образом на цели.

Цели

Раздел Цели позволяет изучить выявленные цели для получения дополнительной информации об их потенциальном намерении и вероятности того, что цель является вредоносной:

  • Оценка вредоносности Cato

  • Изучение популярности Cato

  • Рассмотрение связанных категорий Cato

  • Просмотр количества источников угроз, связанных с целью

Особенно важным индикатором для фишинговых атак является Дата создания домена. Если дата недавняя, более вероятно, что сайт является вредоносным.

XDR_Phishing_Playbook_-_target_creation_date.png

Использование ссылок на цели для поиска во внешних источниках

К этому моменту вы должны иметь четкое понимание запечатленной в этой истории активности, Ссылки на цели помогут вам провести внешний поиск в авторитетных источниках для исторического контекста и признаков вредоносного поведения. Коррелируйте эти данные, чтобы выявить связи с другими организациями и возможные ссылки на известных акторов угроз, кампании или техники.

Потоки, связанные с атакой

Используйте раздел Потоки, связанные с атакой, чтобы изучить необработанные потоки данных, связанные с историей.

Анализируйте дополнительные данные из этих потоков, включая URL, агенты пользователя, имена файлов и другие релевантные атрибуты, и сравнивайте их с результатами предыдущего этапа расследования, чтобы выявить потенциальные корреляции.

Заключение

Для большинства случаев заблокированного доступа к фишинговому сайту правильной классификацией для истории будет Просмотр фишингового сайта.

Рекомендуемые действия

  1. Проверьте у потерпевшего, была ли атака попыткой spear phishing и была ли она специально нацелена на него (использование частной информации и т.д.).

    Если нет, убедитесь, что никакие другие сотрудники не стали жертвами той же фишинговой кампании.

  2. Если источник попытки фишинга основан на электронной почте и известен пользователю, смягчите атаку, используя вашу организационную платформу электронной почты для сообщения и блокировки адреса отправителя.

  3. Если источник попытки фишинга неизвестен, проведите полное сканирование защиты конечных точек (антивирус, EPP, EDR и т.д.) и удалите любые неопознанные программы и расширения браузера с инфицированного устройства.

Когда ввод учетных данных был заблокирован

Этот раздел описывает подход для проверки, что была попытка ввести учетные данные на фишинговый сайт. Эта часть расследования сосредотачивается главным образом на обнаруженной цели и URL.

Цели

Раздел Цели позволяет изучить выявленные цели для получения дополнительной информации об их потенциальном намерении и вероятности того, что цель является вредоносной:

  • Оценка вредоносности Cato

  • Изучение популярности Cato

  • Рассмотрение связанных категорий Cato

  • Просмотр количества источников угроз, связанных с целью

Особенно важным индикатором для фишинговых атак является Дата создания домена. Если дата недавняя, более вероятно, что сайт является вредоносным.

XDR_Phishing_Playbook_-_target_creation_date.png

Использование ссылок на цели для поиска во внешних источниках

К этому моменту вы должны иметь четкое понимание запечатленной в этой истории активности, Ссылки на цели помогут вам провести внешний поиск в авторитетных источниках для исторического контекста и признаков вредоносного поведения. Коррелируйте эти данные, чтобы выявить связи с другими организациями и возможные ссылки на известных акторов угроз, кампании или техники.

Идентификация реферера

В фишинговых атаках цель, с которой первично коммуникациируют, часто не является самим вредоносным сайтом, а реферером, то есть сайтом, который содержит ссылку на вредоносный сайт. Сайт реферера появляется в разделе Потоки, связанные с атакой в столбце Реферер.

XDR_Phishing_Playbook_-_referrer.png

Проверка реферера через Domain Lookup

После идентификации реферера вы можете использовать Domain Lookup для исследования домена. Низкая Популярность и высокая Оценка вредоносности указывают на вредоносный домен.

XDR_Phishing_Playbook_-_domain_lookup.png

Потоки, связанные с атакой

Используйте раздел Потоки, связанные с атакой, чтобы изучить необработанные потоки данных, связанные с историей.

Анализируйте дополнительные данные из этих потоков, включая URL, агенты пользователя, имена файлов и другие релевантные атрибуты, и сравнивайте их с результатами предыдущего этапа расследования, чтобы выявить потенциальные корреляции.

Во время исследования URL важно проверить, содержит ли он какие-либо конфиденциальные данные (обратите внимание, что в многих случаях URL кодируются и их необходимо декодировать для получения доступа ко всем содержащимся данным). Мы также рекомендуем проверить внешние инструменты на наличие похожих шаблонов URL, чтобы получить дальнейшее понимание обнаруженного трафика.

Примечание: При проведении расследования рекомендуется не заходить на подозрительные фишинговые сайты.

Заключение

Для большинства случаев заблокированного ввода учетных данных на фишинговый сайт, правильной классификацией истории будет Попытка Ввода Учетных Данных.

Рекомендуемые действия

  1. Если конфиденциальные данные утекли, измените пароль для соответствующих служб и рассмотрите возможность жесткого выхода из всех сервисов.

  2. Убедитесь, что не были скачаны и выполнены вредоносные файлы.

  3. Проверьте у потерпевшего, была ли эта атака попыткой spear phishing и была ли она специально нацелена на него (использование частной информации и т.д.).

    Если нет, убедитесь, что никакие другие сотрудники не стали жертвами той же фишинговой кампании.

  4. Если источник попытки фишинга основан на электронной почте и известен пользователю, смягчите атаку, используя вашу организационную платформу электронной почты для сообщения и блокировки адреса отправителя.

  5. Если источник попытки фишинга неизвестен, проведите полное сканирование защиты конечных точек (антивирус, EPP, EDR и т.д.) и удалите любые неопознанные программы и расширения браузера с инфицированного устройства.

Когда атака была обнаружена после компрометации

Этот раздел описывает подход для проверки, что были введены учетные данные на фишинговый сайт. Эта часть расследования сосредотачивается главным образом на обнаруженной цели и реферере (сайте, содержащем ссылку на вредоносный сайт).

Цели

Раздел Цели позволяет изучить выявленные цели для получения дополнительной информации об их потенциальном намерении и вероятности того, что цель является вредоносной:

  • Оценка вредоносности Cato

  • Изучение популярности Cato

  • Рассмотрение связанных категорий Cato

  • Просмотр количества источников угроз, связанных с целью

Особенно важным индикатором для фишинговых атак является Дата создания домена. Если дата недавняя, более вероятно, что сайт является вредоносным.

XDR_Phishing_Playbook_-_target_creation_date.png

Использование ссылок на цели для поиска во внешних источниках

К этому моменту вы должны иметь четкое понимание запечатленной в этой истории активности, Ссылки на цели помогут вам провести внешний поиск в авторитетных источниках для исторического контекста и признаков вредоносного поведения. Коррелируйте эти данные, чтобы выявить связи с другими организациями и возможные ссылки на известных акторов угроз, кампании или техники.

Идентификация реферера

В фишинговых атаках цель, с которой первично коммуникациируют, часто не является самим вредоносным сайтом, а реферером, то есть сайтом, который содержит ссылку на вредоносный сайт. Сайт реферера появляется в разделе Потоки, связанные с атакой в столбце Реферер.

XDR_Phishing_Playbook_-_referrer.png

Проверка реферера через Domain Lookup

После идентификации источника, вы можете использовать Поиск домена для исследования домена. Низкая Популярность и высокая Оценка вредоносности указывают на вредоносный домен.

XDR_Phishing_Playbook_-_domain_lookup.png

Потоки, связанные с атакой

Используйте раздел Потоки, связанные с атакой для анализа необработанных потоков данных, связанных с историей.

Анализируйте дополнительные точки данных из этих потоков, включая URL, пользовательские агенты, имена файлов и другие релевантные атрибуты, и сопоставляйте их с результатами предыдущего шага расследования, чтобы выявить потенциальные корреляции.

При расследовании URL важно проверить, содержит ли он какую-либо конфиденциальную информацию (обратите внимание, что во многих случаях URL закодированы и требуют декодирования для доступа ко всем данным, которые он содержит). Мы также рекомендуем проверить внешние инструменты на наличие схожих шаблонов URL для получения дополнительной информации о обнаруженном трафике.

Примечание: При проведении расследования мы рекомендуем не посещать подозрительные сайты, связанные с фишингом.

Заключение

В большинстве случаев обнаружения отправки учетных данных на фишинговый сайт, правильная классификация истории — это Отправка учетных данных.

Рекомендуемые действия

  1. Если конфиденциальные данные утекли, измените пароль для соответствующих сервисов и рассмотрите возможность жесткого выхода из всех сервисов.

  2. Убедитесь, что вредоносные файлы не загружены и не выполнены.

  3. Проверьте у жертвы, была ли атака попыткой фишинга с использованием копья и была ли она направлена специально на неё (используя частное имя, личную информацию и т. д.).

    Если нет, убедитесь, что никакие другие сотрудники не стали жертвами одной и той же фишинг-кампании.

  4. Если источник фишинговой попытки известен пользователю и базируется на электронной почте, смягчите атаку, используя вашу организационную платформу электронной почты для отчета и блокировки исходного адреса.

  5. Если источник фишинговой попытки неизвестен, выполните полное сканирование защиты конечных точек (Антивирус, EPP, EDR и т. д.) и удалите неизвестные программы и расширения браузера с зараженного устройства.

  6. Если обнаруженный трафик не был заблокирован, создайте правило Межсетевого экрана для блокировки цели.

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 0 из 0

0 комментариев