来源:https://www.demisto.com/phishing-incident-response-playbook/
一、介绍
事件响应运行手册(又名。(playbook,“用例”)是一份书面指南,用于识别、包含、根除和恢复网络安全事件。文档通常是sans事件响应过程准备阶段的输出。在本文中,我们将讨论一个“钓鱼事件响应剧本”。
运行手册类似于标准操作规程(SOPs),因为它们还具有简单的分步指导,使任何过程都可预测、可重复和可测量。指导是为特定的受众准备的,比如初级分析师。运行簿方法还支持某些外包活动,例如允许托管安全服务提供商(MSSP)执行某些任务。
下面的指南引导您完成一个简单的运行手册的编写过程,用于处理基于电子邮件的社会工程活动。在本文结束时,您将了解有效运行手册背后的一般原则。
二、基本信息
在下面的示例中,您是一家名为Royal Acacia的虚构公司的事件响应团队(IRT)的负责人。这是一个成功的自流蜂蜜经销商在美国各地。该公司的绝大部分收入来自其繁忙的电子商务网站。
网店的流行是由于对最新趋势和技术的巧妙利用。Acacia的DevOps团队正在开发一种可伸缩的微服务基础设施,可以每周推出新功能。因此,该商店接受信用卡、Apple Pay和比特币支付。该公司还运营着一个大型数据仓库,从客户那里收集各种类型的敏感数据。
由于管理层关心数据安全,他们雇佣了第三方审计公司来进行组织范围的威胁评估。评估人员认为客户和信用卡数据是Royal Acacia公司最有价值的资产。根据该公司的报告,最大的威胁是由社会工程导致的数据盗窃。此外,我们还发现,公司的简单贝叶斯垃圾邮件过滤器(Bayesian SPAM filter)这一唯一的控制手段不足以解决基于电子邮件的社会工程尝试。
为了保护敏感数据,您的管理层决定使用事件响应活动来支持数据保护。他们会让你作为IRT的负责人来控制一个减少网络钓鱼活动的过程。
三、准备
你意识到初步设计阶段对于你的IR活动的成功是至关重要的。
用简单的话说,仔细的计划最终总会有回报。
首先要确定的是公司应该保护什么,不保护什么。这将为您的运行手册提供目标和目的。同样重要的是要理解社会工程的尝试是如何被发现的,以及对它们的适当反应是什么。
四、目的和目标
每个运行手册都应该有一个明确的目标。这不仅证明了运行手册的存在,也证明了它的商业价值。缺乏目标会导致效率低下,浪费每个人的时间。
在您的示例中,管理层关心的是客户数据的机密性和社会工程。您的运行手册的目标是围绕数据保护,防止针对Royal Acacia员工的基于社会工程的攻击。
五、检测和响应
为了检测社会工程的尝试,首先必须了解钓鱼活动是如何执行的。至于响应,您必须熟悉您的组织中的相关杀死链模型。
现在决定在检测方面快速取胜,所以您可以让终端用户向phishing@royalacacia.com报告传入的钓鱼尝试。
六、构造攻击链
为了构建攻击链,你只需要系统地通过实施一个成功的钓鱼攻击的必要步骤。记住,有多种方法可以欺骗员工,所以应该根据需要重复这一步。
你最近听说了很多关于假发票邮件传播恶意软件,所以你建立了一个潜在的连锁事件如下:
1、攻击者制作了一封包含URL的“未付发票”电子邮件,并将该邮件发送给您组织的几个用户
2、钓鱼邮件由该公司的SMTP服务器接收
3、电子邮件通过该公司简单的垃圾邮件过滤器
4、将phish移动到最终用户的邮箱中
5、用户通知邮箱中的新电子邮件并读取它
6、用户点击恶意邮件中的链接
7、一个网站打开并提供一个".exe”文件(伪装的pdf图标),以下载
8、用户认为该文件是一个真正的发票并打开它
9、该文件是一个从Internet上下载一些附加内容的卸载器
10、附加内容会自动安装
11、该恶意软件打开一个永久连接到某个IP地址
12、攻击者通过这个永久通道连接到PC
13、攻击者枚举可用的文件共享并下载每个可用的Office文档
七、评估控制
根据kill chain模型,如果我们可以在任何点打破chain,就可以防止成功的数据盗窃。好消息是,您的IT已经有足够的工具来阻止事件链。
因此,您从上面的列表,并展开它与您现有的控件如下:
1、攻击者制作了一封包含URL的“未付发票”电子邮件,并将该邮件发送给您组织的几个用户
没有可用的控制
2、钓鱼邮件由该公司的SMTP服务器接收
拒绝基于主题行,发件人IP,内容或其他属性的电子邮件
3、电子邮件通过该公司简单的垃圾邮件过滤器
标记“坏”的电子邮件来教垃圾邮件过滤器
4、将phish移动到终端用户的邮箱中
Royal Acacia软件能够移除收件箱中已经存在的电子邮件
5、用户通知邮箱中的新电子邮件,用户打开并读取它
你可以警告你的用户正在兴起的钓鱼活动
6、用户点击恶意邮件中的链接,然后加载到浏览器中
用户的计算机查询DNS, HTTP请求通过web代理发送。你可以屏蔽DNS请求和代理上的url(一种模式)。
7、打开一个网站,提供一个.exe文件供下载
您可以阻止某些文件类型或具有某些属性的文件在web代理上下载
8、用户认为该文件是一个真正的发票并打开它
新的反病毒签名可以推送到端点
9、该文件是一个从Internet上下载一些附加内容的卸载器
您可以基于代理上的特定模式阻止该文件
10、附加内容会自动安装
同样,新的反病毒签名可以推送到端点
11、恶意软件打开一个永久连接到某个IP地址,攻击者通过这个通道控制受感染的电脑
代理日志可以帮助识别可以追溯到网络上源主机的这些连接类型
12、攻击者列举可用的文件共享,并将每个可用的Office文档下载到被恶意软件感染的PC上
您确定异常检测可能是这里的适当控制,但是公司还没有这种能力
13、攻击者指示受感染的PC将文件上传到Dropbox
您可以阻止此操作或在代理日志中追溯检测
不错,你可以用现有的控件控制几乎每一步。现在是时候写实际的剧本了!
八、你的第一个剧本
下面的剧本是处理某些类型的钓鱼广告的一个例子。在您的事件响应团队使用它之前,这个剧本应该经过同行评审、训练和练习。
还有一点值得一提的是,playbook应该是不断演进的文档。当你的IRT定期使用这个过程时,一些行动可能会变得无效,而另一些则会消失。从你的团队中收集反馈并相应地修改流程。如果整个剧本变得无关紧要,考虑放弃这个过程。
九、处理员工钓鱼报告-事件响应部分
1、至少每小时检查phishing@royalacacia.com收件箱,查看员工报告
2、如果有新的报告进来,在JIRA中创建一个新的票据
3、从最终用户处获得原始电子邮件并将其附在票证上
4、验证电子邮件是否是钓鱼
(1)检查主机名部分的所有链接在电子邮件https://otx.alienvault.com或其他feed像Virustotal或IBM Xforce Exchange
(2)把鼠标悬停在链接上,检查链接内的URL是否相同?(例如www.ebay.com < a href = " www.badurl.com " > < / >) ?
(3)该电子邮件是否试图避开垃圾邮件过滤器?
(4)发送者看起来是伪造的吗?
如果电子邮件是假阳性,感谢用户的报告并解决票证。否则,继续下面的说明。
调查第一步:获取IoCs
收集并记录以下IoCs到JIRA票中。
1、从电子邮件下载完整的网址
2、URL中主机名
3、访问http://www.kloth.net/services/nslookup.php并获得属于主机名的ip
4、反向查找并记录PTR记录
5、启动一个Linux虚拟机, curl URL来检索文件
(1)计算md5和sha256哈希值
(2)在VM上用“zip”打包文件,并用密码“virus”加密。
(3)用scp将压缩后的文件复制到您的桌面
(4)附加文件和散列到JIRA票
6、电子邮件的主题链接
7、电子邮件发送者
8、发送者的SMTP服务器的主机名和IP地址
调查第二步:这是一场活动吗?
搜索JIRA的电子邮件与类似的发件人,主题,内容或url
1、如果这是一个新活动中的第一个phish,请跳到下一段
2、如果钓鱼是活动的一部分
(1)在JIRA中创建主票据(如果需要的话)
(2)将新票与主票联系起来
(3)将相关票证与主票证关联
提醒员工
如果这是JIRA中与主票证相关的第五个票证,我们需要警告终端用户正在出现的威胁。
1、进入\dc1irttemplatesphishing并获取预先批准的电子邮件模板
2、填写适当的细节
3、请将模板发送到我们的内部公关邮箱:communications@royalacacia.com
4、给我们的公关团队打个电话,号码是12345,现在让他们知道我们有预先协商好的事故情况,全公司的警报应该在一小时内发出
在SMTP服务器上阻止电子邮件
由于phisher可以很容易地更改电子邮件的主题行或发件人,请尝试在相关电子邮件的邮件标题中找到一个共同的模式。例如,所有的电子邮件都可能共享X-Mailer:和X-PHP-Script:标题。
1、查看在主JIRA票下的钓鱼邮件的原始来源
2、试着找出共同的模式
如果你找到了一些常见的属性,可以通过it@royalacacia.com联系它,并根据已识别的模式请求拦截所有传入的电子邮件。
标记“坏”邮件
把原始邮件发送到it@royalacacia.com,让他们把邮件发送到公司的贝叶斯垃圾邮件过滤器。
从用户收件箱中删除电子邮件
检查SMTP日志是否将相同的电子邮件发送给其他用户。从受影响的员工邮箱中删除类似的邮件。
1、去https://splunk.royalacacia.com
2、从原始phish中搜索主题行
3、搜索发件人的电子邮件地址从原来的钓鱼
4、如果您在SMTP日志中标识了其他收件人
(1)将受影响的收件人导出到CSV文件中
(2)通过it@royalacacia.com联系IT部门,要求他们从受影响的邮箱中删除这些密码
blackhole DNS
我们有一个预先批准的过程与它劫持特定的DNS请求在域控制器解析他们为127.0.0.1
1、访问https://otx.alienvault.com或类似的威胁信息服务。
2、分析主机名并收集相关的主机名
3、联系它在it@royalacacia.com,并发送他们的主机名IoCs名单被blackholed
阻止下载网址
如果用户在网络钓鱼中单击恶意URL,此过程将阻止滴管被下载。
1、尝试在URL中识别一个模式。例如,如果URL是:http://hackedwebsite.com/dl.php?campaign=ra&id=12731342834923919
2、创建一个合理的正则表达式:^.+/dl.php?.*campaign=ra.$
3、联系代理团队在proxy@royalacacia.com上阻止基于模式的url
向McAfee(或类似服务)报告恶意软件样本
将样本发送给McAfee以获取更新的恶意软件签名,这会阻止用户打开已经下载的文件(除非恶意软件文件发生变异)。
将JIRA彩票中的恶意软件样本发送到virus_research@mcafee.com
部署反病毒签名(您选择的反病毒)
如果McAfee回复了附加的签名文件,我们将它推送到端点,如下所示:
从迈克菲收到的dat文件,并将其附加到票据上
将dat文件发送到it@royalacacia.com并要求他们立即推送
网友评论