MaxPatrol SIEM

Выявляет инциденты ИБ, ведущие к нарушению киберустойчивости компании

T1566.002: Целевой фишинг со ссылкой

Злоумышленники могут отправлять целевые фишинговые сообщения электронной почты со ссылками с целью получения доступа к целевым системам. Целевой фишинг со ссылкой — это разновидность целевого фишинга. Он отличается от других разновидностей тем, что в нем используются ссылки для загрузки вредоносных программ, а не прикрепленные к электронному письму вредоносные файлы, которые могут не пройти проверку средствами защиты. Целевой фишинг может включать другие методы социальной инженерии, например имитацию доверенного источника.

Все формы целевого фишинга относятся к методам социальной инженерии, реализуемым посредством электронной связи и нацеленным на конкретного человека, компанию или отрасль. В этом случае вредоносные электронные письма содержат ссылки. Как правило, ссылки сопровождаются пояснительным текстом, который использует методы социальной инженерии, чтобы убедить пользователя щелкнуть ссылку либо скопировать и вставить URL-адрес в браузер, чтобы осуществить выполнение с участием пользователя. Посещенный веб-сайт может скомпрометировать веб-браузер с помощью эксплойта или предложить пользователю загрузить приложения, документы, ZIP-файлы или даже исполняемые файлы, в зависимости от содержания письма.

Злоумышленники могут также добавить ссылки и встроенные изображения, которые взаимодействуют непосредственно с почтовым клиентом и могут напрямую скомпрометировать конечную систему. В ссылках также могут использоваться специальные символы для имитации адресов легитимных веб-сайтов (так называемая атака через омографы IDN). URL-адреса могут быть обфусцированы с помощью таких особенностей схемы URL-адресов, как принятие целочисленных или шестнадцатеричных форматов имен хостов и автоматическое игнорирование текста перед символом @, например hxxp://google.com@1157586937.

Ссылки могут применяться для фишинга с целью получения доступа (consent phishing), часто через URL-адреса запросов OAuth 2.0, которые при подтверждении пользователем предоставляют разрешения или доступ вредоносным приложениям, позволяя злоумышленникам осуществить кражу токена доступа к приложению. Украденные токены доступа позволяют злоумышленнику выполнять различные действия от имени пользователя с помощью вызовов API .

Злоумышленники также могут использовать целевые фишинговые ссылки с целью кражи токена доступа к приложению, обеспечивающего непосредственный доступ к среде жертвы. Например, злоумышленники могут пытаться убедить пользователя предоставить разрешения или доступ через вредоносный URL-адрес запроса OAuth 2.0.

Аналогичным образом вредоносные ссылки могут использоваться для атак на авторизацию устройств, например на схему авторизации устройств OAuth 2.0, которая обычно используется для аутентификации устройств без пользовательских интерфейсов или браузеров. Этот метод, известный как device code phishing, включает отправку злоумышленником ссылки на вредоносную страницу авторизации, где пользователя обманом заставляют ввести код или учетные данные, на основе которых создается токен устройства.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

vulnerabilities: PT-CR-2297: CVE_2024_21413_Outlook_MonikerLink: Эксплуатация уязвимости CVE-2024-21413 в Outlook. Уязвимость позволяет злоумышленнику отправить жертве письмо с гиперссылкой на общий сетевой ресурс и обойти предупреждение Outlook при открытии письма. Это может быть использовано, чтобы выполнить произвольный код или получить NetNTLM-хеш пользователя
vulnerabilities: PT-CR-779: MSDT_CVE_2022_30190: Использование протокола ms-msdt для эксплуатации уязвимости CVE_2022_30190 (Follina) в Средстве диагностики службы технической поддержки Майкрософт (MSDT)
antimalware: PT-CR-727: Sandbox_Spam_Attack_By_Source: Обнаружена спам-рассылка от одного и того же отправителя
antimalware: PT-CR-728: Sandbox_Spam_Attack_By_Title: Обнаружена спам-рассылка с одинаковой темой письма
antimalware: PT-CR-729: Subrule_Sandbox_Mail_Attachment: Событие PT Sandbox дополнено информацией о вложениях
antimalware: PT-CR-745: Subrule_Sandbox_Mail_IP: Событие PT Sandbox дополнено информацией об IP-адресах
mitre_attck_initial_access: PT-CR-2415: External_Link_Clicked: Пользователь перешел по внешней ссылке
antimalware: PT-CR-1770: Subrule_Sandbox_Count_Mail_Attachments: Событие PT Sandbox дополнено информацией о количестве вложений
antimalware: PT-CR-2080: KSMG_Malware_Detect_And_Clean: В письме найден вредоносный объект, проблема устранена
antimalware: PT-CR-2085: KSMG_Malware_remove: Вредоносный объект найден в письме и удален

Способы обнаружения

IDDS0029Источник и компонент данныхСетевой трафик: Содержимое сетевого трафикаОписание

Monitor and analyze SSL/TLS traffic patterns and packet inspection associated to protocol(s) that do not follow the expected protocol standards and traffic flows (e.g. extraneous packets that do not belong to established flows, gratuitous or anomalous traffic patterns, anomalous syntax, or structure). Consider correlation with process monitoring and command line to detect anomalous processes execution and command line arguments associated to traffic patterns (e.g. monitor anomalies in use of files that do not normally initiate connections for respective protocol(s)).

Furthermore, monitor network traffic for cloned sites as well as homographs via the use of internationalized domain names abusing different character sets (e.g. Cyrillic vs Latin versions of trusted sites).

IDDS0015Источник и компонент данныхЖурналы приложений: Содержимое журналов приложенийОписание

Monitor for third-party application logging, messaging, and/or other artifacts that may send spearphishing emails with a malicious link in an attempt to gain access to victim systems. Filtering based on DKIM+SPF or header analysis can help detect when the email sender is spoofed. URL inspection within email (including expanding shortened links and identifying obfuscated URLs) can help detect links leading to known malicious sites. Detonation chambers can be used to detect these links and either automatically go to these sites to determine if they're potentially malicious, or wait and capture the content if a user visits the link.

Furthermore, monitor browser logs for homographs in ASCII and in internationalized domain names abusing different character sets (e.g. Cyrillic vs Latin versions of trusted sites).

IDDS0029Источник и компонент данныхСетевой трафик: Поток сетевого трафикаОписание

Monitor network data for uncommon data flows. Processes utilizing the network that do not normally have network communication or have never been seen before are suspicious.

Меры противодействия

IDM1054НазваниеИзменение конфигурации ПООписание

Use anti-spoofing and email authentication mechanisms to filter messages based on validity checks of the sender domain (using SPF) and integrity of messages (using DKIM). Enabling these mechanisms within an organization (through policies such as DMARC) may enable recipients (intra-org and cross domain) to perform similar message filtering and validation..

Furthermore, policies may enforce / install browser extensions that protect against IDN and homograph attacks.

IDM1021НазваниеОграничения для веб-контентаОписание

Determine if certain websites that can be used for spearphishing are necessary for business operations and consider blocking access if activity cannot be monitored well or if it poses a significant risk.

IDM1047НазваниеАудитОписание

Audit applications and their permissions to ensure access to data and resources are limited based upon necessity and principle of least privilege.

IDM1018НазваниеУправление учетными записямиОписание

Azure AD Administrators apply limitations upon the ability for users to grant consent to unfamiliar or unverified third-party applications.

IDM1017НазваниеОбучение пользователейОписание

Users can be trained to identify social engineering techniques and spearphishing emails with malicious links which includes phishing for consent with OAuth 2.0. Additionally, users may perform visual checks of the domains they visit; however, homographs in ASCII and in IDN domains and URL schema obfuscation may render manual checks difficult. Phishing training and other cybersecurity training may raise awareness to check URLs before visiting the sites.