MaxPatrol SIEM

Выявляет инциденты ИБ, ведущие к нарушению киберустойчивости компании

T1204.001: Вредоносная ссылка

Для запуска вредоносного кода злоумышленнику может быть необходимо, чтобы пользователь нажал на вредоносную ссылку. Часто для этого применяется социальная инженерия: жертву обманом заставляют перейти по ссылке, по нажатии на которую выполняется код. Как правило, пользователи совершают такие действия в результате применения злоумышленниками техники Целевой фишинг со ссылкой. Переход по ссылке может также привести к реализации других техник выполнения вредоносного кода, таких как Эксплуатация уязвимостей в клиентском ПО — браузере или приложении. Также по ссылкам на устройство пользователя могут скачиваться вредоносные файлы.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_initial_access: PT-CR-2415: External_Link_Clicked: Пользователь перешел по внешней ссылке

Способы обнаружения

IDDS0029Источник и компонент данныхСетевой трафик: Создание сетевого подключенияОписание

Monitor for newly constructed web-based network connections that are sent to malicious or suspicious destinations (e.g. destinations attributed to phishing campaigns). Consider correlation with process monitoring and command line to detect anomalous processes execution and command line arguments (e.g. monitor anomalies in use of files that do not normally initiate network connections or unusual connections initiated by regsvr32.exe, rundll.exe, .SCF, HTA, MSI, DLLs, or msiexec.exe).

IDDS0029Источник и компонент данныхСетевой трафик: Содержимое сетевого трафикаОписание

Monitor and analyze traffic patterns and packet inspection associated with web-based network connections that are sent to malicious or suspicious detinations (e.g. destinations attributed to phishing campaigns). Consider correlation with process monitoring and command line to detect anomalous processes execution and command line arguments (e.g. monitor anomalies in use of files that do not normally initiate network connections or unusual connections initiated by regsvr32.exe, rundll.exe, .SCF, HTA, MSI, DLLs, or msiexec.exe).

IDDS0022Источник и компонент данныхФайл: Создание файлаОписание

malicious documents and files that are downloaded from a link and executed on the user's computer

Меры противодействия

IDM1031НазваниеПредотвращение сетевых вторженийОписание

If a link is being visited by a user, network intrusion prevention systems and systems designed to scan and remove malicious downloads can be used to block activity.

IDM1017НазваниеОбучение пользователейОписание

Use user training as a way to bring awareness to common phishing and spearphishing techniques and how to raise suspicion for potentially malicious events.

IDM1021НазваниеОграничения для веб-контентаОписание

If a link is being visited by a user, block unknown or unused files in transit by default that should not be downloaded or by policy from suspicious sites as a best practice to prevent some vectors, such as .scr, .exe, .pif, .cpl, etc. Some download scanning devices can open and analyze compressed and encrypted formats, such as zip and rar that may be used to conceal malicious files.