منو سایت

چگونه حوادث فیشینگ هدفمند را ردیابی کنیم؟

 تاریخ انتشار :
/
  اخبار استارتاپ
Log4Shell برای هک سرورهای VMWare استفاده می شود

Log4Shell برای هک سرورهای VMWare استفاده می شود

علیرغم سرمایه گذاری های هنگفتی که در خرید و مدیریت پورتال های ایمیل امن انجام شده است، 9 درصد از ایمیل های ارسالی به کاربران و سازمان ها همچنان مخرب هستند.

طبق گفته Verizon، توانایی مقابله با یک حمله فیشینگ قبل از کلیک کاربر بر روی یک اتصال مخرب، تنها یک دقیقه و 40 ثانیه است.

در این مقاله فراست، به مراحل مورد نیاز برای تجزیه و تحلیل یک پیام مخرب و مقابله با تهدیدات اثبات شده می پردازیم.

خالص، مخرب یا مشکوک

نقطه شروع ارزیابی و مقابله با یک حمله معمولاً زمانی است که کاربر یک ایمیل مشکوک به مرکز عملیات فناوری اطلاعات یا Help Desk ارسال می کند، اما از آنجایی که کارکنان ابزار تشخیصی قابل اعتمادی نیستند، می توانند به آنها (و آموزش) اعتماد کنند. آگاهی امنیتی آنها) برای شناسایی ایمیل‌های مشکوک که از پورتال ایمیل عبور کرده‌اند، تهدیدات را نادیده می‌گیرند و تشخیص‌های مثبت کاذب را افزایش می‌دهند.

توصیه می شود از یک راه حل تخصصی برای طبقه بندی فوری ایمیل ها به دسته های پاک، مخرب یا مشکوک استفاده کنید. سپس می‌توانید ایمیل‌های تمیز را نادیده بگیرید و ایمیل‌های مشکوک را مستقیماً به بخش تهدیدات تأیید شده این مقاله منتقل کنید (مرحله 4). در نهایت، هر بخش از پیام مخرب باید به موازات سایر بخش ها تجزیه و تحلیل شود تا مشخص شود که آیا حاوی سیگنال های مخرب است یا خیر.

یکی از راه‌های جلوگیری از هک هدفمند ایمیل‌ها و فیشینگ هدفمند این است که فکر نکنید از زمانی که ایمیل تحویل داده شده است، باید تمیز باشد. همه ایمیل ها باید فورا بررسی شوند. چارچوب‌های تشخیصی مانند اکتشافی (یا الگوریتم‌های تصادفی‌سازی فراابتکاری که برای تشخیص پاسخ‌های بهینه استفاده می‌شوند)، یادگیری ماشین، و پردازش زبان طبیعی، همگی به طور قابل‌توجهی در این امر نقش دارند. راه حل های موجود در بازار نیز بسیار مقرون به صرفه هستند.

مرحله 1: استخراج اشیا

برای تعیین اینکه ایمیل قوی، مخرب یا مشکوک است، می‌توانید آن را به اشیایی تقسیم کنید که می‌توانند ابتدا توسط ماشین‌ها و سپس در صورت لزوم توسط انسان تجزیه و تحلیل شوند. این اشیاء عبارتند از:

  • اطلاعات شبکه مانند آدرس IP هر دستگاه درگیر در فرآیند انتقال پیام؛
  • نتایج احراز هویت به دست آمده از SPF، DKIM، و غیره.
  • رتبه بندی هرزنامه توسط دروازه امن ایمیل یا سایر راه حل های پیام رسانی تعیین می شود.
  • نام و آدرس پست الکترونیکی فرستنده، مقدار فیلد پاسخ، آدرس ایمیل همه گیرندگان پیام، موضوع ایمیل و متن آن؛
  • فایل های پیوست شده؛
  • پیوندهای تعبیه شده در متن پیام و پیوست های آن.

ایمیل های مخرب

مرحله دوم: تجزیه و تحلیل اشیاء

ابتدا اشیاء را با استفاده از روش‌های مطمئن و مطمئن تجزیه و تحلیل کنید و در صورت لزوم از روش‌های ارزان‌تر یا گران‌تر استفاده کنید.

به عنوان مثال، می توانید IP یا آدرس فرستنده را در پایگاه داده اطلاعاتی تهدید جستجو کنید تا مشخص کنید آیا پیام توسط یک فرستنده مخرب شناخته شده ارسال شده است یا خیر. در این صورت امکان خروج از مرحله تحلیل و شروع تقابل وجود دارد.

چارچوب تجزیه و تحلیل کامل دارای بخش های زیر است:

  • هوش تهدید برای تأیید سریع تهدیدات شناخته شده مفید است، اما به تشخیص سناریوهای روز صفر کمک نمی کند. پایگاه‌های اطلاعاتی تهدید معمولاً ترکیبی از منابع منبع باز، منابع مشترک صنعت، کانال‌های تجاری و داده‌های به‌دست‌آمده از خود سازمان از اطلاعات حملات قبلی هستند.

به عبارت دیگر، اگر یک IP مخرب، ایمیل فرستنده، اتصال یا امضا (هش) در پایگاه داده اطلاعاتی تهدید یافت شود، ممکن است پیام مورد نظر مخرب باشد، اما اگر هیچ یک از موارد بالا پیدا نشد، نمی توانید پیام را بگویید. واضح است.

  • ابتکاری، یک اصطلاح فنی برای منطق if-then است و یکی از انعطاف پذیرترین و سریع ترین ابزارها برای تشخیص سریع خواص مخرب است. در زیر یک شبه کد اکتشافی ساده برای شناسایی تلاش‌ها برای هک ایمیل تجاری آمده است:

اگر احراز هویت ایمیل بررسی شد = ناموفق و فرستنده

نام نمایشی کارمند و آدرس پاسخ است

آدرس فرستنده یکسان نیست و پیام حاوی کلمه کلیدی مالی است

سپس ایمیل را به عنوان مبادله با ایمیل تجاری طبقه بندی کنید

امکان اعمال اکتشافی به رشته های URL برای شناسایی لینک های فیشینگ در حملات روز صفر (که از آسیب پذیری های ناشناخته سوء استفاده می کنند) وجود دارد. موتورهای اسکن بدافزار معمولاً از اکتشافی برای شناسایی سریع ویژگی های مخرب شناخته شده استفاده می کنند. بنابراین می توان اکتشافات را برای محتوای وب به کار برد. این موضوع را بعدا بررسی خواهیم کرد.

  • فراگیری ماشین او می‌تواند فعالیت‌های یک صندوق پستی را زیر نظر بگیرد و از آن برای ایجاد یک خط پایه از رفتارها و روابط مورد اعتماد استفاده کند و سپس در صورت نقض این خط مبنا هشدار دهد. چه کسی و در چه ساعتی از روز برای کدام کاربر ایمیل می فرستد؟ حجم این ایمیل ها چقدر است؟ محتوای ایمیل ها چیست؟ نکته مهمی که باید به آن توجه کرد این است که گاهی اوقات کار مدل‌های یادگیری ماشین پیچیده به نظر می‌رسد و می‌توانند پیام‌ها را به‌عنوان پاک، مخرب یا مشکوک طبقه‌بندی کنند، اما دلیل چنین طبقه‌بندی را بیان نمی‌کنند.
  • تجزیه و تحلیل جعبه ایمنی برای بدافزار این یک روش گران قیمت و نسبتا وقت گیر است، اما برای طبقه بندی فایل هایی که توسط سایر موتورهای جستجو به عنوان پیام های مخرب شناسایی شده اند بسیار مفید است. فایل های پیوست و کل فایل های ایمیل را می توان برای تجزیه و تحلیل پیشرفته به sandbox ارسال کرد. Sandbox فایل را اجرا می کند و تمام رفتارها (از جمله دستورات سیستم عامل و فعالیت شبکه) (از جمله دستورات سیستم عامل و فعالیت شبکه) را برای شناسایی و درک اشیاء مخرب در یک محیط محدود نظارت می کند.

محیط تست بدافزار

مرحله 3: استخراج محتوا

در این بخش تمام اشیایی که در پیام لیست شده اند را تجزیه و تحلیل می کنیم. برای این کار باید فایل ها را دانلود کرده و لینک های موجود در فایل های پیوست و متن پیام را دنبال کنید. مجرمان سایبری معمولاً پیوندهای فیشینگ را در Google Doc قرار می دهند و سپس آن را با گوگل به اشتراک می گذارند. به احتمال زیاد در مرحله دوم از این تاکتیک جلوگیری می شود، زیرا پیام های ارسال شده توسط گوگل پیام های ارسال شده توسط منبع مخرب محسوب نمی شوند و خود ایمیل حاوی بدافزار یا محتوای دیگری برای تجزیه و تحلیل نیست. بازیابی محتوای بلادرنگ به رفع چالش های شناسایی مربوط به انفجار تاخیری و سایر تکنیک های اجتناب کمک می کند.

معمولاً، تحلیلگر باید به صورت دستی فایل به اشتراک گذاشته شده را از راه دور دانلود کند یا پیوندهای موجود در متن ایمیل را دنبال کند تا تأثیر صفحه فرود را به صورت بصری ببیند. امکان ارسال فایل دانلود شده به سندباکس وجود دارد. تجزیه و تحلیل محتوای یک صفحه وب با استفاده از روش های اکتشافی و یادگیری ماشین امکان پذیر است، اما تحلیلگری که از چنین صفحه ای بازدید می کند باید تعیین کند که آیا صفحه سالم است یا با یک حمله فیشینگ مرتبط است. راه حل های تخصصی ضد فیشینگ وجود دارد که این فرآیند را خودکار می کند و بهترین روش است. این راه حل ها این مرحله را با مرحله دوم ترکیب می کنند.

مرحله 4: تثبیت و حذف

در این مرحله، یک شی در پیام به عنوان یک شی مخرب شناسایی می‌شود، بنابراین باید تمام صندوق‌های پستی را که تحت تأثیر این حمله قرار گرفته‌اند شناسایی کرده و قبل از اینکه کاربران بتوانند اقدام ناخواسته‌ای انجام دهند، آنها را حذف کنیم. اگر تعداد کاربران زیادی ندارید، ارسال دستورالعمل‌ها به همراه دستورالعمل‌ها برای همه کارمندان ممکن است ساده‌ترین راه برای یافتن و حذف همه نمونه‌های ایندکس مخرب باشد.

یک راه پیچیده تر، استفاده از ابزار ردیابی پیام آنلاین Microsoft Exchange برای یافتن همه موارد مشابه بر اساس آدرس / دامنه، IP یا شناسه پیام منحصر به فرد در هدر است.

پیدا کردن ایمیل‌ها بر اساس یک پیوند مخرب یا پیوست با استفاده از ابزار ردیابی ممکن است آسان نباشد. برای این کار به یک راه حل تخصصی نیاز دارید. این راه حل ها معمولا یک رکورد کلی از تمام ایمیل های دریافتی در سازمان ثبت می کنند و به شما امکان می دهند مقادیر مورد نظر را در آنها جستجو کنید.

هنگامی که همه تهدیدها شناسایی شدند، مدیران ایمیل باید آنها را از صندوق پستی آسیب دیده حذف کنند.

مرحله 5: به روز رسانی و مسدود کردن

فیلترهای محتوای وب، فایروال ها، سرورهای نقطه پایانی، دروازه های ایمیل و سایر کنترل های امنیتی را برای مسدود کردن اشیاء مخرب به روز کنید. برای مثال، خط‌مشی‌های فیلتر محتوای وب خود را به‌روزرسانی کنید تا دسترسی به پیوندهای فیشینگ تأیید شده را مسدود کنید. آدرس IP یا ایمیل فرستنده پیام مخرب را به لیست موارد مسدود شده در پورت ایمیل امن خود اضافه کنید. خط‌مشی‌ها یا فایل‌های امضا را به‌روزرسانی کنید تا از ضبط یا اجرای فایل‌های مخرب توسط واسطه‌ها در نقاط پایانی دستگاه‌های کاربران جلوگیری کنید.

به روز رسانی و مسدود کردن

مرحله 6: بازیابی

فهرست رویدادها را در فیلترهای محتوای وب، ابزارهای بازنویسی URL و کارگزاران امنیتی نقطه پایانی مرور کنید تا مشخص کنید آیا کاربر روی پیوندهای مخرب کلیک می کند یا یک فایل آلوده را دانلود می کند. رمز عبور کاربرانی که روی پیوندهای فیشینگ کلیک کرده‌اند را تغییر دهید و تاریخچه ورود آنها را بررسی کنید تا رفتار مشکوک بالقوه را شناسایی کنید. دستگاه های آلوده باید یا با اجرای فرآیند بدافزار از پیش نصب شده یا با ایجاد مجدد میزبان و بازیابی اطلاعات کاربر از بایگانی بازیابی شوند.

نکته در مورد اتوماسیون

هنگامی که سازمان شما پاسخ مؤثری به حمله فیشینگ پیدا کرد، باید تمام مراحل را خودکار کنید تا زمان دریافت یک تهدید را به حداقل برسانید و آن را به هر طریق حذف کنید.

سازمان‌ها می‌توانند با استفاده از پلتفرم همگام‌سازی، شناسایی و پاسخ ایمیل، پاسخ خود به حوادث فیشینگ را خودکار کنند. این راه حل تشخیص و پاسخ به طور خاص برای مبارزه با هک ایمیل و فیشینگ طراحی شده است. همچنین می‌توانید از SOAR سازمانی (همگام‌سازی، اتوماسیون و راه‌حل پاسخ امنیتی) برای خودکار کردن پاسخ‌های ایمیل استفاده کنید، اما این امر مستلزم دسترسی به ابزارهای امنیتی دیگر مانند فیدهای اطلاعاتی تهدید و تجزیه و تحلیل بدافزار است.

نتیجه

مشاهده یک ایمیل به طور متوسط ​​8 دقیقه و برای حذف ایمیل مخرب کاربر 15 دقیقه طول می کشد. برای سازمانی با بیش از 500 صندوق ایمیل، زمان پاسخگویی 1183 ساعت (48911 دلار) است.

با استفاده از ابزارهای اتوماسیون، می توانید بار کاری تیم مرکز عملیات امنیتی را در برابر تهدیدات ضد فیشینگ به شدت کاهش دهید.

برای مطالعه سایر مقالات امنیت سایبری اینجا را کلیک کنید.

منبع: infosecurity-magazine