T1566: Фишинг
Злоумышленники могут отправлять фишинговые сообщения с целью получения доступа к целевым системам. Все формы фишинга относятся к методам социальной инженерии, реализуемым посредством электронной связи. Фишинг, сосредоточенный на конкретных целях, называется целевым. При целевом фишинге злоумышленников интересуют определенный человек, компания или отрасль. Для охвата более широкого круга жертв злоумышленники организуют нецелевой фишинг, например массовые рассылки спама с вредоносным ПО.
Злоумышленники могут отправлять жертвам электронные письма с вредоносными вложениями или ссылками, чтобы запустить вредоносный код на целевых системах. Фишинг также может осуществляться через сторонние сервисы, например через социальные сети. Фишинг может также включать такие методы социальной инженерии, как имитация доверенного источника, а также техники для предотвращения обнаружения, такие как манипулирование (включая удаление) электронными письмами или метаданными/заголовками из скомпрометированных учетных записей, с которых отправляются сообщения (например, с помощью техники Правила скрытия эл. почты). Аналогичного эффекта можно добиться путем подделки или подмены личности отправителя, чтобы обмануть как получателя-человека, так и автоматизированные средства безопасности.
Жертвы также могут получать фишинговые сообщения с предложением позвонить по определенному номеру, где им предложат перейти на вредоносный URL-адрес, загрузить вредоносное ПО или установить на свой компьютер средства удаленного управления, предоставляющие доступ злоумышленнику (техника Выполнение с участием пользователя).
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
postfix: PT-CR-2711: Postfix_Suspicious_Sender: Нетипичные символы в адресе отправителя. Это может быть признаком эксплуатации уязвимости CVE-2020-12063, позволяющей визуально подделать адрес другого отправителя и отправить сообщение без аутентификации antimalware: PT-CR-2082: KSMG_Massmail_Allowed: В письме обнаружена массовая рассылка antimalware: PT-CR-746: Sandbox_Different_Sender_Info: SMTP-заголовок "Mail from" и отправитель письма отличаются antimalware: PT-CR-2081: KSMG_SPAM_Detected: Обнаружена спам-рассылка
Подтехники
Способы обнаружения
ID | DS0022 | Источник и компонент данных | Файл: Создание файла | Описание | Отслеживайте недавно созданные файлы, с помощью которых злоумышленники могут отправлять целевые фишинговые сообщения электронной почты с вредоносными вложениями с целью получения доступа к системам жертвы. |
---|
ID | DS0029 | Источник и компонент данных | Сетевой трафик: Поток сетевого трафика | Описание | Отслеживайте в сетевых данных необычные потоки данных. Процессы, которые взаимодействуют с сетью, хотя обычно этого не делают или вам незнакомы, следует считать подозрительными. |
---|
ID | DS0029 | Источник и компонент данных | Сетевой трафик: Содержимое сетевого трафика | Описание | Отслеживайте и анализируйте шаблоны трафика и содержимое пакетов с целью выявления протоколов, которые не соответствуют ожидаемым стандартам этих протоколов и потокам трафика (например, посторонние пакеты, не относящиеся к установленным потокам, а также необычные шаблоны, синтаксис или структура трафика). По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки с целью выявления необычного запуска процессов и необычных аргументов командной строки, связанных с шаблонами трафика (например, следует отслеживать необычное использование файлов, которые обычно не инициируют соединения по соответствующим протоколам). |
---|
ID | DS0015 | Источник и компонент данных | Журналы приложений: Содержимое журналов приложений | Описание | Отслеживайте журналы, сообщения и (или) другие артефакты, создаваемые сторонними приложениями, которые могут указывать на отправку целевых фишинговых сообщений электронной почты через сторонние сервисы с целью получения доступа к целевым системам. |
---|
Меры противодействия
ID | M1017 | Название | Обучение пользователей | Описание | Пользователей можно научить распознавать техники социальной инженерии и целевые фишинговые письма. |
---|
ID | M1021 | Название | Ограничения для веб-контента | Описание | Заблокируйте по умолчанию неизвестные и неиспользуемые файлы, которые не следует передавать по электронной почте как вложения, с целью защиты от некоторых векторов атак (.scr, .exe, .pif, .cpl и т. д.). Некоторые устройства сканирования электронной почты могут открывать и анализировать файлы в сжатых и зашифрованных форматах (таких как zip и rar), которые могут использоваться для сокрытия вредоносных вложений. |
---|
ID | M1031 | Название | Предотвращение сетевых вторжений | Описание | Системы предотвращения сетевых вторжений и системы, предназначенные для сканирования и удаления вредоносных вложений электронной почты, можно использовать для блокировки активности. |
---|
ID | M1047 | Название | Аудит | Описание | Проводите аудит или проверки безопасности систем, разрешений, ПО и конфигураций для выявления уязвимых мест. |
---|
ID | M1049 | Название | Антивирус или ПО для защиты от вредоносных программ | Описание | Антивирус также может автоматически помещать подозрительные файлы в карантин. |
---|
ID | M1054 | Название | Изменение конфигурации ПО | Описание | Используйте механизмы аутентификации и защиты от спуфинга электронной почты для фильтрации сообщений на основе проверки достоверности домена отправителя (с помощью SPF) и целостности сообщений (с помощью DKIM). Включение этих механизмов в организации (с помощью таких политик, как DMARC) может позволить получателям (внутри организации и между доменами) выполнять аналогичную фильтрацию и проверку сообщений. |
---|