T1534: Внутренний целевой фишинг
Получив доступ к учетным записям или системам в среде, злоумышленники могут использовать внутренний целевой фишинг, чтобы получить доступ к дополнительной информации или скомпрометировать других пользователей в той же организации. Внутренний целевой фишинг — это многоступенчатая кампания, в ходе которой легитимная учетная запись сначала компрометируется путем получения контроля над устройством пользователя либо путем компрометации учетных данных пользователя. После этого злоумышленники могут попытаться использовать эту доверенную внутреннюю учетную запись, чтобы повысить вероятность обмана новых жертв, заставив их поддаться на фишинговые уловки; для этого часто используется техника имперсонации.
Например, при внутреннем целевом фишинге злоумышленники могут использовать целевой фишинг с вложением или целевой фишинг со ссылкой для доставки полезной нагрузки или перенаправления жертвы на внешний сайт с целью получения ее учетных данных. В последнем случае может использоваться перехват вводимых данных на сайтах, имитирующих интерфейсы входа в систему.
Злоумышленники также могут использовать внутренние чат-приложения, такие как Microsoft Teams, для распространения вредоносного контента или попыток получить конфиденциальную информацию и (или) учетные данные пользователей.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
web_servers_abnormal_activity: PT-CR-1975: Web_Servers_Abnormal_Activity_CaptivePortal_Custom_Page: Злоумышленник может создать персонализированную страницу портала авторизации, чтобы собрать конфиденциальные данные пользователей
Способы обнаружения
ID | DS0029 | Источник и компонент данных | Сетевой трафик: Содержимое сетевого трафика | Описание | Отслеживайте и анализируйте шаблоны трафика и содержимое пакетов, чтобы выявлять признаки протоколов, которые не соответствуют ожидаемым стандартам протоколов и шаблонам потоков трафика (например, посторонние пакеты, не относящиеся к обычным потокам, трафик неизвестного происхождения, а также необычные синтаксис или структура трафика). По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки с целью выявления необычного запуска процессов и необычных аргументов командной строки, связанных с шаблонами трафика (например, следует отслеживать необычное использование файлов, которые обычно не инициируют соединения по соответствующим протоколам). |
---|
ID | DS0029 | Источник и компонент данных | Сетевой трафик: Поток сетевого трафика | Описание | Отслеживайте необычные потоки сетевых данных. Процессы, которые взаимодействуют с сетью, хотя обычно этого не делают или вам незнакомы, следует считать подозрительными. |
---|
ID | DS0015 | Источник и компонент данных | Журналы приложений: Содержимое журналов приложений | Описание | Почтовые шлюзы обычно не проверяют внутреннюю почту, но для обнаружения внутреннего целевого фишинга организация может использовать решение с поддержкой журналирования, которое будет отправлять копии писем в службу безопасности для автономного анализа, или специализированные решения, интегрированные со службами локально или через API. |
---|