T1566.002: Целевой фишинг со ссылкой
Злоумышленники могут отправлять целевые фишинговые сообщения электронной почты со ссылками с целью получения доступа к целевым системам. Целевой фишинг со ссылкой — это разновидность целевого фишинга. Он отличается от других разновидностей тем, что в нем используются ссылки для загрузки вредоносных программ, а не прикрепленные к электронному письму вредоносные файлы, которые могут не пройти проверку средствами защиты. Целевой фишинг может включать другие методы социальной инженерии, например имитацию доверенного источника.
Все формы целевого фишинга относятся к методам социальной инженерии, реализуемым посредством электронной связи и нацеленным на конкретного человека, компанию или отрасль. В этом случае вредоносные электронные письма содержат ссылки. Как правило, ссылки сопровождаются пояснительным текстом, который использует методы социальной инженерии, чтобы убедить пользователя щелкнуть ссылку либо скопировать и вставить URL-адрес в браузер, чтобы осуществить выполнение с участием пользователя. Посещенный веб-сайт может скомпрометировать веб-браузер с помощью эксплойта или предложить пользователю загрузить приложения, документы, ZIP-файлы или даже исполняемые файлы, в зависимости от содержания письма.
Злоумышленники могут также добавить ссылки и встроенные изображения, которые взаимодействуют непосредственно с почтовым клиентом и могут напрямую скомпрометировать конечную систему. В ссылках также могут использоваться специальные символы для имитации адресов легитимных веб-сайтов (так называемая атака через омографы IDN). URL-адреса могут быть обфусцированы с помощью таких особенностей схемы URL-адресов, как принятие целочисленных или шестнадцатеричных форматов имен хостов и автоматическое игнорирование текста перед символом @, например hxxp://google.com@1157586937.
Ссылки могут применяться для фишинга с целью получения доступа (consent phishing), часто через URL-адреса запросов OAuth 2.0, которые при подтверждении пользователем предоставляют разрешения или доступ вредоносным приложениям, позволяя злоумышленникам осуществить кражу токена доступа к приложению. Украденные токены доступа позволяют злоумышленнику выполнять различные действия от имени пользователя с помощью вызовов API .
Злоумышленники также могут использовать целевые фишинговые ссылки с целью кражи токена доступа к приложению, обеспечивающего непосредственный доступ к среде жертвы. Например, злоумышленники могут пытаться убедить пользователя предоставить разрешения или доступ через вредоносный URL-адрес запроса OAuth 2.0.
Аналогичным образом вредоносные ссылки могут использоваться для атак на авторизацию устройств, например на схему авторизации устройств OAuth 2.0, которая обычно используется для аутентификации устройств без пользовательских интерфейсов или браузеров. Этот метод, известный как device code phishing, включает отправку злоумышленником ссылки на вредоносную страницу авторизации, где пользователя обманом заставляют ввести код или учетные данные, на основе которых создается токен устройства.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
postfix: PT-CR-2712: Postfix_Message_From_Wrong_Username: Адрес почты отправителя сообщения не совпадает с его аутентификационными данными. Это может быть попыткой фишинга postfix: PT-CR-2711: Postfix_Suspicious_Sender: Нетипичные символы в адресе отправителя. Это может быть признаком эксплуатации уязвимости CVE-2020-12063, позволяющей визуально подделать адрес другого отправителя и отправить сообщение без аутентификации vulnerabilities: PT-CR-779: MSDT_CVE_2022_30190: Использование протокола ms-msdt для эксплуатации уязвимости CVE_2022_30190 (Follina) в Средстве диагностики службы технической поддержки Майкрософт (MSDT) vulnerabilities: PT-CR-2297: CVE_2024_21413_Outlook_MonikerLink: Эксплуатация уязвимости CVE-2024-21413 в Outlook. Уязвимость позволяет злоумышленнику отправить жертве письмо с гиперссылкой на общий сетевой ресурс и обойти предупреждение Outlook при открытии письма. Это может быть использовано, чтобы выполнить произвольный код или получить NetNTLM-хеш пользователя mitre_attck_initial_access: PT-CR-2415: External_Link_Clicked: Пользователь перешел по внешней ссылке antimalware: PT-CR-729: Subrule_Sandbox_Mail_Attachment: Событие PT Sandbox дополнено информацией о вложениях antimalware: PT-CR-728: Sandbox_Spam_Attack_By_Title: Обнаружена спам-рассылка с одинаковой темой письма antimalware: PT-CR-2085: KSMG_Malware_Remove: Вредоносный объект найден в письме и удален antimalware: PT-CR-745: Subrule_Sandbox_Mail_IP: Событие PT Sandbox дополнено информацией об IP-адресах antimalware: PT-CR-1770: Subrule_Sandbox_Count_Mail_Attachments: Событие PT Sandbox дополнено информацией о количестве вложений antimalware: PT-CR-2080: KSMG_Malware_Detect_And_Clean: В письме найден вредоносный объект, проблема устранена antimalware: PT-CR-727: Sandbox_Spam_Attack_By_Source: Обнаружена спам-рассылка от одного и того же отправителя vmware_aria: PT-CR-2369: Aria_Operations_Request_Classified_As_Csrf_Attack: Возможная CSRF-атака (межсайтовая подделка запроса). Это вид атаки, при которой злоумышленник вынуждает пользователя выполнить вредоносный запрос от имени этого пользователя
Способы обнаружения
| ID | DS0029 | Источник и компонент данных | Сетевой трафик: Поток сетевого трафика | Описание | Отслеживайте необычные потоки сетевых данных. Процессы, которые взаимодействуют с сетью, хотя обычно этого не делают или вам незнакомы, следует считать подозрительными. |
|---|
| ID | DS0015 | Источник и компонент данных | Журналы приложений: Содержимое журналов приложений | Описание | Отслеживайте журналы, сообщения и (или) другие артефакты, создаваемые сторонними приложениями, которые могут указывать на отправку целевых фишинговых сообщений электронной почты с вредоносными ссылками с целью получения доступа к целевым системам. Фильтрация на основе проверок DNS-записей DKIM и SPF или заголовков позволяет обнаружить подмену отправителя сообщения электронной почты. Проверка содержащихся в письме URL-адресов (в том числе декодирование коротких ссылок и выявление обфусцированных URL-адресов) позволяет обнаружить ссылки, ведущие на известные вредоносные сайты. Для обнаружения таких ссылок могут использоваться изолированные среды, которые автоматически переходят на сайт и проверяют его на вредоносность или перехватывают загружаемое содержимое, если пользователь сам переходит по ссылке. Также отслеживайте журналы браузера на предмет использования омографов для ASCII и интернационализированных доменных имен, записанных символами из разных кодировок (например, имена доверенных сайтов, записанные кириллицей и латиницей). |
|---|
| ID | DS0029 | Источник и компонент данных | Сетевой трафик: Содержимое сетевого трафика | Описание | Отслеживайте и анализируйте шаблоны трафика SSL/TLS и содержимое его пакетов, чтобы выявлять признаки протоколов, которые не соответствуют ожидаемым стандартам протоколов и шаблонам потоков трафика (например, посторонние пакеты, не относящиеся к обычным потокам, а также необычные шаблоны, синтаксис или структура трафика). По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки с целью выявления необычного запуска процессов и необычных аргументов командной строки, связанных с шаблонами трафика (например, следует отслеживать необычное использование файлов, которые обычно не инициируют соединения по соответствующим протоколам). Кроме того, отслеживайте в сетевом трафике наличие адресов сайтов-клонов, а также омографов с интернационализированными доменными именами на базе различных наборов символов (например, кириллические и латинские варианты имен доверенных сайтов). |
|---|
Меры противодействия
| ID | M1017 | Название | Обучение пользователей | Описание | Пользователей можно научить распознавать техники социальной инженерии и целевые фишинговые письма с вредоносными ссылками, в том числе используемые для кражи доступа через OAuth 2.0. Кроме того, пользователи могут оценивать подозрительность доменов визуально. Однако ручную проверку могут затруднять похожие символы в доменных именах ASCII и IDN, а также обфускация URL-адресов. Если научить пользователей распознавать фишинг и применять другие меры информационной безопасности, они будут внимательнее проверять URL-адреса перед переходом на сайты. |
|---|
| ID | M1018 | Название | Управление учетными записями | Описание | Администраторы Azure AD ограничивают возможности пользователей дать согласие на использование неизвестных или неподтвержденных сторонних приложений. |
|---|
| ID | M1021 | Название | Ограничения для веб-контента | Описание | Определите, необходимы ли для осуществления деловых операций определенные веб-сайты, которые могут использоваться для целевого фишинга, и рассмотрите возможность блокировки доступа, если активность невозможно должным образом отслеживать или если она представляет значительный риск. |
|---|
| ID | M1047 | Название | Аудит | Описание | Проводите аудит приложений и их разрешений для обеспечения ограничения доступа к данным и ресурсам на основе необходимости и принципа наименьших привилегий. |
|---|
| ID | M1054 | Название | Изменение конфигурации ПО | Описание | Используйте механизмы аутентификации и защиты от спуфинга электронной почты для фильтрации сообщений на основе проверки достоверности домена отправителя (с помощью SPF) и целостности сообщений (с помощью DKIM). Включение этих механизмов в организации (с помощью таких политик, как DMARC) может позволить получателям (внутрикорпоративным и междоменным) выполнять аналогичную фильтрацию и проверку сообщений. Более того, политики могут контролировать наличие расширений браузера, которые защищают от атак с использованием омографов в IDN, или даже устанавливать эти расширения. |
|---|