T1598.002: Целевой фишинг с вложением
Злоумышленники могут отправлять целевые фишинговые сообщения с вредоносным вложением, чтобы получить конфиденциальную информацию для своих атак. Целевой фишинг с целью сбора сведений — это попытка обманом заставить жертву раскрыть информацию, такую как учетные или другие данные, полезные для организации атак. Целевой фишинг с целью сбора сведений часто полагается на социальную инженерию, например злоумышленник выдает себя за источник, у которого есть причина запрашивать какую-либо информацию (см., например, техники Создание учетных записей и Компрометация учетных записей), и (или) отправляет множество сообщений, требующих срочного реагирования.
Все формы целевого фишинга относятся к методам социальной инженерии, реализуемым посредством электронной связи и нацеленным на конкретного человека, компанию или отрасль. В этом сценарии злоумышленники прикрепляют к целевому фишинговому письму файл и обычно надеются на то, что получатель заполнит его и вернет. Текст целевого фишингового письма обычно содержит правдоподобное объяснение, почему нужно заполнить этот файл, например потому что это якобы уточняющий запрос делового партнера. Кроме того, злоумышленники могут применить сведения, добытые ранее (например, путем поиска на общедоступных сайтах или поиска на сайтах атакуемой организации) для создания убедительных и правдоподобных приманок.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
mitre_attck_execution: PT-CR-605: Office_File_with_Macros: Пользователь открыл документ Microsoft Offiсe с макросом
mitre_attck_execution: PT-CR-648: Suspicious_Child_from_Messenger_Process: Пользователь запустил процесс от родительского процесса мессенджера
antimalware: PT-CR-726: Sandbox_Spam_Attack_By_Attachment: Обнаружена спам-рассылка с одинаковым вложением
antimalware: PT-CR-727: Sandbox_Spam_Attack_By_Source: Обнаружена спам-рассылка от одного и того же отправителя
antimalware: PT-CR-728: Sandbox_Spam_Attack_By_Title: Обнаружена спам-рассылка с одинаковой темой письма
antimalware: PT-CR-729: Subrule_Sandbox_Mail_Attachment: Событие PT Sandbox дополнено информацией о вложениях
antimalware: PT-CR-745: Subrule_Sandbox_Mail_IP: Событие PT Sandbox дополнено информацией об IP-адресах
process_chains_and_logons: PT-CR-950: Suspicious_Office_Process_Chain: Подозрительная цепочка запуска процессов для приложений Microsoft Office или Adobe Acrobat
mitre_attck_initial_access: PT-CR-2301: Suspicious_File_Creation_From_Messenger_or_Mail: Создан файл с подозрительным расширением от имени программы мгновенного обмена сообщениями или почты либо обнаружена подозрительная активность файла. Это может быть признаком фишинговой атаки или доставки вредоносного программного обеспечения на компьютер пользователя
process_chains_and_logons: PT-CR-1213: Suspicious_Messenger_Process_Chain: Подозрительная цепочка запуска процессов для программ мгновенного обмена сообщениями
antimalware: PT-CR-1770: Subrule_Sandbox_Count_Mail_Attachments: Событие PT Sandbox дополнено информацией о количестве вложений
Способы обнаружения
ID | DS0015 | Источник и компонент данных | Журналы приложений: Содержимое журналов приложений | Описание | Отслеживайте подозрительную активность, связанную с электронной почтой, например получение большим количеством пользователей сообщений от одного нетипичного или неизвестного отправителя. Фильтрация на основе проверок DNS-записей DKIM и SPF или заголовков позволяет обнаружить подмену отправителя сообщения электронной почты. |
---|
ID | DS0029 | Источник и компонент данных | Сетевой трафик: Поток сетевого трафика | Описание | Отслеживайте необычные потоки сетевых данных. Процессы, которые взаимодействуют с сетью, хотя обычно этого не делают или вам незнакомы, следует считать подозрительными. |
---|
ID | DS0029 | Источник и компонент данных | Сетевой трафик: Содержимое сетевого трафика | Описание | Отслеживайте и анализируйте шаблоны трафика и содержимое пакетов, чтобы выявлять признаки протоколов, которые не соответствуют ожидаемым стандартам протоколов и шаблонам потоков трафика (например, посторонние пакеты, не относящиеся к обычным потокам, трафик неизвестного происхождения, а также необычные синтаксис или структура трафика). По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки с целью выявления необычного запуска процессов и необычных аргументов командной строки, связанных с шаблонами трафика (например, следует отслеживать необычное использование файлов, которые обычно не инициируют соединения по соответствующим протоколам). |
---|
Меры противодействия
ID | M1017 | Название | Обучение пользователей | Описание | Пользователей можно научить распознавать техники социальной инженерии и попытки целевого фишинга. |
---|
ID | M1054 | Название | Изменение конфигурации ПО | Описание | Используйте механизмы аутентификации и защиты от спуфинга электронной почты для фильтрации сообщений на основе проверки достоверности домена отправителя (с помощью SPF) и целостности сообщений (с помощью DKIM). Включение этих механизмов в организации (с помощью таких политик, как DMARC) может позволить получателям (внутри организации и между доменами) выполнять аналогичную фильтрацию и проверку сообщений. |
---|