T1598.002: Целевой фишинг с вложением

Злоумышленники могут отправлять целевые фишинговые сообщения с вредоносным вложением, чтобы получить конфиденциальную информацию для своих атак. Целевой фишинг с целью сбора сведений — это попытка обманом заставить жертву раскрыть информацию, такую как учетные или другие данные, полезные для организации атак. Целевой фишинг с целью сбора сведений часто полагается на социальную инженерию, например злоумышленник выдает себя за источник, у которого есть причина запрашивать какую-либо информацию (см., например, техники Создание учетных записей и Компрометация учетных записей), и (или) отправляет множество сообщений, требующих срочного реагирования.

Все формы целевого фишинга относятся к методам социальной инженерии, реализуемым посредством электронной связи и нацеленным на конкретного человека, компанию или отрасль. В этом сценарии злоумышленники прикрепляют к целевому фишинговому письму файл и обычно надеются на то, что получатель заполнит его и вернет. Текст целевого фишингового письма обычно содержит правдоподобное объяснение, почему нужно заполнить этот файл, например потому что это якобы уточняющий запрос делового партнера. Кроме того, злоумышленники могут применить сведения, добытые ранее (например, путем поиска на общедоступных сайтах или поиска на сайтах атакуемой организации) для создания убедительных и правдоподобных приманок.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

process_chains_and_logons: PT-CR-950: Suspicious_Office_Process_Chain: Подозрительная цепочка запуска процессов для приложений Microsoft Office или Adobe Acrobat process_chains_and_logons: PT-CR-1213: Suspicious_Messenger_Process_Chain: Подозрительная цепочка запуска процессов для программ мгновенного обмена сообщениями unix_mitre_attck_initial_access: PT-CR-2477: Unix_Process_Started_Via_Office_Macros: Запуск процесса с помощью макроса LibreOffice hacking_tools: PT-CR-2870: PhantomCore_Tools_Usage: Активность, характерная для трояна удаленного доступа PhantomRAT или его загрузчика PhantomDL. Признаки активности: DNS-запросы к доменам для определения публичного IP-адреса, загрузка библиотек для работы с WMI и сетевой конфигурацией или запуск дочернего процесса для получения домена пользователя от процесса с двойным расширением mitre_attck_execution: PT-CR-2664: Outlook_VBA_Addin_Load: Процесс Outlook загрузил библиотеку "Microsoft VBA for Outlook Addin" (OUTLVBA.DLL). Это может свидетельствовать об использовании макросов VBA с целью выполнить произвольный код mitre_attck_execution: PT-CR-605: Office_File_With_Macros: Пользователь открыл документ Microsoft Offiсe с макросом mitre_attck_execution: PT-CR-648: Suspicious_Child_From_Messenger_Process: Пользователь запустил процесс от родительского процесса мессенджера mitre_attck_initial_access: PT-CR-2301: Suspicious_File_Creation_From_Messenger_Or_Mail: Создан файл с подозрительным расширением от имени программы мгновенного обмена сообщениями или почты либо обнаружена подозрительная активность файла. Это может быть признаком фишинговой атаки или доставки вредоносного программного обеспечения на компьютер пользователя antimalware: PT-CR-726: Sandbox_Spam_Attack_By_Attachment: Обнаружена спам-рассылка с одинаковым вложением antimalware: PT-CR-1770: Subrule_Sandbox_Count_Mail_Attachments: Событие PT Sandbox дополнено информацией о количестве вложений antimalware: PT-CR-729: Subrule_Sandbox_Mail_Attachment: Событие PT Sandbox дополнено информацией о вложениях antimalware: PT-CR-745: Subrule_Sandbox_Mail_IP: Событие PT Sandbox дополнено информацией об IP-адресах antimalware: PT-CR-727: Sandbox_Spam_Attack_By_Source: Обнаружена спам-рассылка от одного и того же отправителя antimalware: PT-CR-728: Sandbox_Spam_Attack_By_Title: Обнаружена спам-рассылка с одинаковой темой письма

Способы обнаружения

IDDS0029Источник и компонент данныхСетевой трафик: Содержимое сетевого трафикаОписание

Отслеживайте и анализируйте шаблоны трафика и содержимое пакетов, чтобы выявлять признаки протоколов, которые не соответствуют ожидаемым стандартам протоколов и шаблонам потоков трафика (например, посторонние пакеты, не относящиеся к обычным потокам, трафик неизвестного происхождения, а также необычные синтаксис или структура трафика). По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки с целью выявления необычного запуска процессов и необычных аргументов командной строки, связанных с шаблонами трафика (например, следует отслеживать необычное использование файлов, которые обычно не инициируют соединения по соответствующим протоколам).

IDDS0029Источник и компонент данныхСетевой трафик: Поток сетевого трафикаОписание

Отслеживайте необычные потоки сетевых данных. Процессы, которые взаимодействуют с сетью, хотя обычно этого не делают или вам незнакомы, следует считать подозрительными.

IDDS0015Источник и компонент данныхЖурналы приложений: Содержимое журналов приложенийОписание

Отслеживайте подозрительную активность, связанную с электронной почтой, например получение большим количеством пользователей сообщений от одного нетипичного или неизвестного отправителя. Фильтрация на основе проверок DNS-записей DKIM и SPF или заголовков позволяет обнаружить подмену отправителя сообщения электронной почты.

Меры противодействия

IDM1054НазваниеИзменение конфигурации ПООписание

Используйте механизмы аутентификации и защиты от спуфинга электронной почты для фильтрации сообщений на основе проверки достоверности домена отправителя (с помощью SPF) и целостности сообщений (с помощью DKIM). Включение этих механизмов в организации (с помощью таких политик, как DMARC) может позволить получателям (внутри организации и между доменами) выполнять аналогичную фильтрацию и проверку сообщений.

IDM1017НазваниеОбучение пользователейОписание

Пользователей можно научить распознавать техники социальной инженерии и попытки целевого фишинга.