T1566.001: Целевой фишинг с вложением

Злоумышленники могут отправлять целевые фишинговые сообщения электронной почты с вредоносными вложениями с целью получения доступа к целевым системам. Целевой фишинг с вложением — это разновидность целевого фишинга. Целевой фишинг с вложением отличается от других разновидностей тем, что в нем вредоносное ПО прикрепляется к электронному письму. Все формы целевого фишинга относятся к методам социальной инженерии, реализуемым посредством электронной связи и нацеленным на конкретного человека, компанию или отрасль. В этом сценарии злоумышленники прикрепляют файл к целевому фишинговому письму и обычно полагаются на выполнение с участием пользователя для запуска полезной нагрузки. Целевой фишинг может включать другие методы социальной инженерии, например имитацию доверенного источника.

К фишинговым письмам могут прикрепляться разные типы вложений, в том числе документы Microsoft Office, исполняемые файлы, документы PDF и архивы. При открытии вложения (и возможном игнорировании предупреждений средств защиты) полезная нагрузка злоумышленника эксплуатирует уязвимость или выполняется напрямую в системе пользователя. Текст целевого фишингового письма обычно содержит правдоподобное объяснение, почему файл нужно открыть, и может описывать, как обойти защиту системы. Электронное письмо может содержать инструкции по расшифровке вложения, например пароль к ZIP-файлу, для обхода встроенной защиты электронной почты. Злоумышленники часто манипулируют расширениями и значками файлов, чтобы исполняемые файлы выглядели как документы или чтобы файлы для эксплуатируемого приложения казались файлами другого типа.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

process_chains_and_logons: PT-CR-950: Suspicious_Office_Process_Chain: Подозрительная цепочка запуска процессов для приложений Microsoft Office или Adobe Acrobat process_chains_and_logons: PT-CR-1213: Suspicious_Messenger_Process_Chain: Подозрительная цепочка запуска процессов для программ мгновенного обмена сообщениями postfix: PT-CR-2712: Postfix_Message_From_Wrong_Username: Адрес почты отправителя сообщения не совпадает с его аутентификационными данными. Это может быть попыткой фишинга postfix: PT-CR-2711: Postfix_Suspicious_Sender: Нетипичные символы в адресе отправителя. Это может быть признаком эксплуатации уязвимости CVE-2020-12063, позволяющей визуально подделать адрес другого отправителя и отправить сообщение без аутентификации vulnerabilities: PT-CR-779: MSDT_CVE_2022_30190: Использование протокола ms-msdt для эксплуатации уязвимости CVE_2022_30190 (Follina) в Средстве диагностики службы технической поддержки Майкрософт (MSDT) vulnerabilities: PT-CR-892: Possible_CVE_2021_1647: Возможная эксплуатация уязвимости CVE-2021-1647 в Windows Defender vulnerabilities: PT-CR-1375: Windows_Contacts_RCE: Возможная эксплуатация уязвимости CVE-2022-44666 в Windows Contacts mitre_attck_execution: PT-CR-2664: Outlook_VBA_Addin_Load: Процесс Outlook загрузил библиотеку "Microsoft VBA for Outlook Addin" (OUTLVBA.DLL). Это может свидетельствовать об использовании макросов VBA с целью выполнить произвольный код mitre_attck_execution: PT-CR-648: Suspicious_Child_From_Messenger_Process: Пользователь запустил процесс от родительского процесса мессенджера mitre_attck_execution: PT-CR-605: Office_File_With_Macros: Пользователь открыл документ Microsoft Offiсe с макросом mitre_attck_execution: PT-CR-345: Malicious_Office_Document: Обнаружена подозрительная последовательность запуска процесса приложением Microsoft Office mitre_attck_initial_access: PT-CR-2301: Suspicious_File_Creation_From_Messenger_Or_Mail: Создан файл с подозрительным расширением от имени программы мгновенного обмена сообщениями или почты либо обнаружена подозрительная активность файла. Это может быть признаком фишинговой атаки или доставки вредоносного программного обеспечения на компьютер пользователя mitre_attck_initial_access: PT-CR-2447: WMI_Execution_Via_VBA_Macro: Создан процесс с помощью команды инструментария управления Windows (WMI) из макроса документа Microsoft Office mitre_attck_initial_access: PT-CR-2416: Open_Password_Protected_File: Пользователь открыл зашифрованный архив ZIP встроенным в ОС средством и запустил файл mitre_attck_persistence: PT-CR-2649: Outlook_Form_Exploitation: Приложение Outlook запустило подозрительный процесс после создания пользовательской формы в клиенте Outlook. Это может свидетельствовать о попытке злоумышленника закрепиться в системе или выполнить произвольный код antimalware: PT-CR-723: Subrule_Sandbox_File_Verdict: PT Sandbox среагировал на один из файлов во время сессии анализа antimalware: PT-CR-729: Subrule_Sandbox_Mail_Attachment: Событие PT Sandbox дополнено информацией о вложениях antimalware: PT-CR-728: Sandbox_Spam_Attack_By_Title: Обнаружена спам-рассылка с одинаковой темой письма antimalware: PT-CR-2085: KSMG_Malware_Remove: Вредоносный объект найден в письме и удален antimalware: PT-CR-745: Subrule_Sandbox_Mail_IP: Событие PT Sandbox дополнено информацией об IP-адресах antimalware: PT-CR-1770: Subrule_Sandbox_Count_Mail_Attachments: Событие PT Sandbox дополнено информацией о количестве вложений antimalware: PT-CR-2080: KSMG_Malware_Detect_And_Clean: В письме найден вредоносный объект, проблема устранена antimalware: PT-CR-727: Sandbox_Spam_Attack_By_Source: Обнаружена спам-рассылка от одного и того же отправителя antimalware: PT-CR-2084: KSMG_Encrypted_Message_Detected: В письме найден зашифрованный файловый объект antimalware: PT-CR-722: Sandbox_Full_Scan_Malware: PT Sandbox среагировал на результат сессии анализа antimalware: PT-CR-726: Sandbox_Spam_Attack_By_Attachment: Обнаружена спам-рассылка с одинаковым вложением unix_mitre_attck_initial_access: PT-CR-2477: Unix_Process_Started_Via_Office_Macros: Запуск процесса с помощью макроса LibreOffice

Способы обнаружения

IDDS0029Источник и компонент данныхСетевой трафик: Содержимое сетевого трафикаОписание

Отслеживайте и анализируйте шаблоны трафика SSL/TLS и содержимое его пакетов, чтобы выявлять признаки протоколов, которые не соответствуют ожидаемым стандартам протоколов и шаблонам потоков трафика (например, посторонние пакеты, не относящиеся к обычным потокам, трафик неизвестного происхождения, а также необычные синтаксис или структура трафика). По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки с целью выявления необычного запуска процессов и необычных аргументов командной строки, связанных с шаблонами трафика (например, следует отслеживать необычное использование файлов, которые обычно не инициируют соединения по соответствующим протоколам). Фильтрация на основе проверок DNS-записей DKIM и SPF или заголовков позволяет обнаружить подмену отправителя сообщения электронной почты.

IDDS0022Источник и компонент данныхФайл: Создание файлаОписание

Отслеживайте создание файлов целевыми фишинговыми сообщениями электронной почты с вредоносными вложениями с целью получения доступа к системам жертвы.

IDDS0029Источник и компонент данныхСетевой трафик: Поток сетевого трафикаОписание

Отслеживайте необычные потоки сетевых данных. Процессы, которые взаимодействуют с сетью, хотя обычно этого не делают или вам незнакомы, следует считать подозрительными.

IDDS0015Источник и компонент данныхЖурналы приложений: Содержимое журналов приложенийОписание

Отслеживайте журналы, сообщения и (или) другие артефакты, создаваемые сторонними приложениями, которые могут указывать на отправку целевых фишинговых сообщений электронной почты с вредоносными вложениями с целью получения доступа к целевым системам. Фильтрация на основе проверок DNS-записей DKIM и SPF или заголовков позволяет обнаружить подмену отправителя сообщения электронной почты. Антивирусное ПО потенциально способно обнаружить вредоносные документы и вложения при их проверке перед сохранением на почтовом сервере или компьютере пользователя. Отслеживайте порождение подозрительных процессов приложениями Microsoft Office и другими офисными программами.

Меры противодействия

IDM1017НазваниеОбучение пользователейОписание

Пользователей можно научить распознавать техники социальной инженерии и целевые фишинговые письма.

IDM1021НазваниеОграничения для веб-контентаОписание

Заблокируйте по умолчанию неизвестные и неиспользуемые файлы, которые не следует передавать по электронной почте как вложения (такие как файлы с расширениями .scr, .exe, .pif и .cpl), с целью защиты от некоторых векторов атак. Некоторые устройства сканирования электронной почты могут открывать и анализировать файлы в сжатых и зашифрованных форматах (таких как zip и rar), которые могут использоваться для сокрытия вредоносных вложений.

IDM1031НазваниеПредотвращение сетевых вторженийОписание

Системы предотвращения сетевых вторжений и системы, предназначенные для сканирования и удаления вредоносных вложений электронной почты, можно использовать для блокировки активности.

IDM1049НазваниеАнтивирус или ПО для защиты от вредоносных программОписание

Антивирус также может автоматически помещать подозрительные файлы в карантин.

IDM1054НазваниеИзменение конфигурации ПООписание

Используйте механизмы аутентификации и защиты от спуфинга электронной почты для фильтрации сообщений на основе проверки достоверности домена отправителя (с помощью SPF) и целостности сообщений (с помощью DKIM). Включение этих механизмов в организации (с помощью таких политик, как DMARC) может позволить получателям (внутри организации и между доменами) выполнять аналогичную фильтрацию и проверку сообщений.