XOps 安全性剧本 - 钓鱼网站攻击

本剧本描述了如何使用XDR 发现事件工作台来调查使用钓鱼网站的攻击事件。

概览

本剧本概述了SOC工程师如何系统性地调查与钓鱼攻击网站相关的潜在安全事件。 提供了收集初步信息、分析网络流量和判断威胁性质的框架。

收集关于威胁的初步信息

在事件中使用详细信息小部件收集潜在威胁的基本信息。 查看事件的描述和其他数据,以决定是否需要进一步调查。 另外,类似事件部分展示了其他具有相似指示器和可观察指标的事件。

gathering-info.png

点击生成 AI 摘要获取提供丰富背景的自然语言事件描述,帮助您快速评估事件。

XDR_Phishing_Playbook_-_AI_Summary.png

使用来源小部件查看此攻击影响的设备数据。

source.png

您还可以使用指示目录获取更多信息(如指示 ID),并根据查询集中进行调查。

了解钓鱼攻击的分布

攻击分布图可帮助理解流量性质、类似于机器人行为的周期性攻击、一次性事件或其他特征。

对于钓鱼攻击,流量分布通常由较少的流量或一次性事件组成,图表大致如下所示:

XDR_Phishing_Playbook_-_attack_distribution.png

确定钓鱼攻击的阶段

要正确调查潜在的钓鱼攻击,首先要确定攻击检测的阶段。 Cato的安全性服务在以下不同阶段检测钓鱼攻击:

  • 阻止访问 - Cato识别浏览目的地为钓鱼站并阻止访问。

  • 阻止凭证提交 - 当用户访问钓鱼站且该站点在浏览器中呈现时,Cato可以阻止用户输入凭证。

  • 后妥协检测 - 可疑活动监控 (SAM) 服务可以识别用户在风险站点提交凭证的情况,并创建事件提醒管理员可能的泄露。

使用目标操作部件查看与事件相关的事件并找到信息以确定钓鱼尝试被检测到的阶段以及是否被阻止。 威胁名称字段可以指示攻击被检测的时间点。

这是一个显示IPS在钓鱼站点凭证提交被阻止的事件示例:

XDR_Phishing_Playbook_-_credential_submission.png

在不同阶段调查钓鱼攻击

确定潜在攻击检测阶段后,按照下述调查步骤进行检测。

当访问站点被阻止时

本节描述了验证被阻止的网站是否为钓鱼网站的一种方法。 本部分调查主要集中在目标上。

目标

目标部分让您检查已识别的目标,以了解其潜在意图和目标的恶意可能性:

  • 评估Cato的恶意评分

  • 检查Cato的普及度

  • 考虑相关的Cato类别

  • 查看与目标链接的威胁情报源数量

对钓鱼攻击特别重要的一个指示器是域的创建时间。 如果日期较新,则站点更有可能是恶意的。

XDR_Phishing_Playbook_-_target_creation_date.png

使用目标链接搜索外部来源

到现在,此事件中的活动应该有了一个牢固的把握,目标链接帮助您在可信来源进行历史背景和恶意行为迹象的外部搜索。 将此数据相关联,以识别与其他实体的连接和可能的已知威胁行为者、活动或技术的链接。

攻击相关流量

使用攻击相关流量部分检查与事件相关的未处理数据流。

分析这些流的附加数据点,包括URL、用户代理、文件名和其他相关属性,并将它们与上一步的调查结果进行比较,以揭示潜在关系。

结论

对于大多数被阻止访问钓鱼网站的情况,故事的正确分类是访问钓鱼站点

推荐的操作

  1. 验证受害者攻击是否为鱼叉式网络钓鱼企图,并是否专门针对他们(使用私人名字、私人信息等)。

    如果不是,请确保没有其他员工是同一钓鱼活动的受害者。

  2. 如果钓鱼企图的来源是基于电子邮件并且为用户所知,则通过使用组织的电子邮件平台报告和阻止源地址来减轻攻击。

  3. 如果钓鱼企图的来源未知,执行完整的端点保护扫描(防病毒、EPP、EDR等),并从受感染的计算机中移除未知的程序和浏览器扩展。

当凭证提交被阻止时

本节描述了验证是否存在向钓鱼网站提交凭证尝试的方法。 本部分调查主要集中在检测到的目标和URL上。

目标

目标部分让您检查已识别的目标,以了解其潜在意图和目标的恶意可能性:

  • 评估Cato的恶意评分

  • 检查Cato的普及度

  • 考虑相关的Cato类别

  • 查看与目标链接的威胁情报源数量

对钓鱼攻击特别重要的一个指示器是域的创建时间。 如果日期较新,则站点更有可能是恶意的。

XDR_Phishing_Playbook_-_target_creation_date.png

使用目标链接搜索外部来源

到现在,此事件中的活动应该有了一个牢固的把握,目标链接帮助您在可信来源进行历史背景和恶意行为迹象的外部搜索。 将此数据相关联,以识别与其他实体的连接和可能的已知威胁行为者、活动或技术的链接。

识别推荐人

在钓鱼攻击中,最先沟通的目标往往不是恶意站点本身,而是推荐站点,即包含恶意站点链接的网站。 推荐站点出现在攻击相关流量部分的推荐人列。

XDR_Phishing_Playbook_-_referrer.png

使用域查找检查推荐人

识别推荐人后,您可以使用域查找研究该域。 低普及度和高恶意评分表明恶意域。

XDR_Phishing_Playbook_-_domain_lookup.png

攻击相关流量

使用攻击相关流量部分检查与事件相关的未处理数据流。

分析这些流的附加数据点,包括URL、用户代理、文件名和其他相关属性,并将它们与上一步的调查结果进行比较,以揭示潜在关系。

当调查URL时,重要的是检查它是否包含任何敏感数据(注意,在许多情况下URL是编码的,需解码以访问其包含的所有数据)。 我们还建议检查外部工具的相似URL模式,以获得对检测流量的进一步洞察。

注意:在进行调查时,我们建议不要访问可疑的钓鱼相关网站。

结论

对于大多数被阻止向钓鱼网站提交凭证的情况,事件的正确分类是凭证提交尝试

推荐的操作

  1. 如果泄露了敏感数据,需更改相关服务的密码,并考虑发起从所有服务的强制下线。

  2. 确保未下载和执行任何恶意文件。

  3. 验证受害者攻击是否为鱼叉式网络钓鱼企图,并是否专门针对他们(使用私人名字、私人信息等)。

    如果不是,请确保没有其他员工是同一钓鱼活动的受害者。

  4. 如果钓鱼企图的来源是基于电子邮件并且为用户所知,则通过使用组织的电子邮件平台报告和阻止源地址来减轻攻击。

  5. 如果钓鱼企图的来源未知,执行完整的端点保护扫描(防病毒、EPP、EDR等),并从受感染的计算机中移除未知的程序和浏览器扩展。

在攻击后妥协时被检测到

本节描述了验证是否存在向钓鱼网站提交凭证的方法。 本部分调查主要集中在检测到的目标和推荐人(一个包含恶意站点链接的网站)。

目标

目标部分让您检查已识别的目标,以了解其潜在意图和目标的恶意可能性:

  • 评估Cato的恶意评分

  • 检查Cato的普及度

  • 考虑相关的Cato类别

  • 查看与目标链接的威胁情报源数量

对钓鱼攻击特别重要的一个指示器是域的创建时间。 如果日期较新,则站点更有可能是恶意的。

XDR_Phishing_Playbook_-_target_creation_date.png

使用目标链接搜索外部来源

到现在,此事件中的活动应该有了一个牢固的把握,目标链接帮助您在可信来源进行历史背景和恶意行为迹象的外部搜索。 将此数据相关联,以识别与其他实体的连接和可能的已知威胁行为者、活动或技术的链接。

识别推荐人

在钓鱼攻击中,最先沟通的目标往往不是恶意站点本身,而是推荐站点,即包含恶意站点链接的网站。 推荐站点出现在攻击相关流量部分的推荐人列。

XDR_Phishing_Playbook_-_referrer.png

使用域查找检查推荐人

识别引用者后,您可以使用域名查询来研究该域名。 低受欢迎程度和高恶意得分表明该域名具有恶意。

XDR_Phishing_Playbook_-_domain_lookup.png

攻击相关流量

使用攻击相关流量部分来检查与事件相关的未处理数据流。

分析这些流量中的补充数据点,包括URL、用户代理、文件名和其他相关属性,并将其与上一步调查的发现进行比较,以揭示潜在的相关性。

调查URL时,检查是否包含任何敏感数据是很重要的(注意,在许多情况下,URL是编码的,需要解码以访问其包含的所有数据)。 我们还建议检查外部工具以获取类似的URL模式,以深入了解检测到的流量。

注意:进行调查时,建议您不要访问可疑的网络钓鱼相关网站。

结论

对于大多数凭据提交到钓鱼网站后的检测案例,正确的分类是凭据提交

推荐操作

  1. 如果敏感数据泄露,请更改相关服务的密码,并考虑启动所有服务的强制注销。

  2. 确保没有下载和执行恶意文件。

  3. 与受害者核实攻击是否为鱼叉式网络钓鱼尝试,并是否专门针对他们(使用私人名称、私人信息等)。

    如果不是,请确保没有其他员工成为同一网络钓鱼活动的受害者。

  4. 如果网络钓鱼尝试的来源是基于电子邮件并已被用户知晓,则使用您的组织电子邮件平台报告并阻止源地址以减轻攻击。

  5. 如果网络钓鱼尝试的来源未知,执行完整的终端防护扫描(如防病毒、EPP、EDR等),并从感染的设备中移除任何未知程序和浏览器扩展。

  6. 如果检测到的流量未被阻止,请创建Internet Firewall规则来阻止目标。

这篇文章有帮助吗?

0 人中有 0 人觉得有帮助

0 条评论