Как данные электронной почты помогают выявлять фишинг

от автора

Электронная почта остается основным вектором кибератак, при этом фишинговые кампании составляют большинство случаев первоначального доступа в корпоративных средах.

Для аналитика SOC освоение методов обнаружения фишинга — это не просто формальность, а ключевая компетенция. Эффективное использование данных электронной почты позволяет на ранних стадиях выявлять, расследовать и локализовывать фишинговые атаки, сокращая время пребывания в системе и минимизируя влияние на бизнес.

— Это руководство представляет собой подробное техническое описание того, как использовать данные электронной почты для обнаружения, интерпретации и реагирования на фишинговые угрозы, опираясь на реальные рабочие процессы SOC и передовые стратегии обнаружения.

Понимание фишинговых писем: анатомия и жизненный цикл атаки.

Фишинг по электронной почте — это метод кибератаки, при котором злоумышленники используют обманные электронные письма, чтобы выманить у получателей конфиденциальную информацию, загрузить вредоносное ПО или предоставить несанкционированный доступ. Эти атаки используют доверие людей и технические уязвимости в системах электронной почты.

Вся суть фишинговой атаки по электронной почте: полный жизненный цикл.

Типичная фишинговая атака по электронной почте проходит следующие этапы:

  • Разведка: Злоумышленники собирают информацию о цели (адреса электронной почты, должности, внутреннюю терминологию) с помощью OSINT, взломов или социальных сетей.

  • Создание фишинговых писем: Фишинговые письма составляются таким образом, что часто подделываются адреса доверенных отправителей или используются похожие домены.

  • Доставка: Электронные письма отправляются в обход средств защиты путем обфускации, вредоносных программ нулевого дня или взломанных учетных записей.

  • Эксплуатация: Получатели взаимодействуют с веб-сайтами, переходят по ссылкам, открывают вложения, вводят учетные данные или выполняют вредоносные макросы.

  • Управление и контроль (C2): Успешная эксплуатация предполагает установление каналов C2, передачу данных или перемещение по сети.

  • Сдерживание/Обход: Злоумышленники могут удалять следы или совершать вторичные атаки; защитники инициируют реагирование на инцидент

Роль данных электронной почты в обнаружении фишинга

Типы данных электронной почты

Аналитики используют несколько источников данных электронной почты для обнаружения фишинга:

  • Заголовки сообщения: метаданные, включая отправителя, получателя, тему, временные метки и информацию о маршрутизации.

  • Содержание сообщения: собственно сообщение, включая текст, HTML-код, встроенные изображения и ссылки.

  • Вложения: Файлы, отправленные вместе с электронным письмом (документы, исполняемые файлы, архивы).

  • URL-адреса и гиперссылки: встроенные ссылки, часто завуалированные или замаскированные.

  • Результаты аутентификации: результаты проверки SPF, DKIM и DMARC.

  • Журналы взаимодействия пользователей: свидетельства взаимодействия пользователей с фишинговыми электронными письмами (клики, загрузки, ответы).

  • Оповещения шлюза и SIEM: журналы устройства безопасности, результаты срабатывания песочницы и правила корреляции SIEM.

Почему это важно?

  • Масштабность: Каждое входящее и исходящее электронное письмо является потенциальным вектором атаки.

  • Контекстуализация: Данные электронной почты обеспечивают контекст для сопоставления поведения пользователей, активности конечных устройств и информации об угрозах.

Криминалистическая ценность: позволяет восстановить хронологию атаки и оценить ее последствия.

Обнаружение фишинга

А) Анализ заголовка

А.1. Подмена отправителя и имитация домена.

  • Отображаемое имя и адрес отправителя: сравните отображаемые имена с фактическими адресами отправителей.

  • Похожие домены: Проанализируйте домены отправителей на предмет тайпсквоттинга (например, ‘micros0ft.com’).

  • Несоответствие Return-Path и Reply-To: Выявление попыток перенаправления ответов.

А.2. Сбои аутентификации

  • SPF (Sender Policy Framework): Проверьте, авторизован ли отправляющий сервер.

  • DKIM (DomainKeys Identified Mail): Проверка криптографических подписей.

  • DMARC (Domain-based Message Authentication, Reporting & Conformance): Агрегирование результатов SPF/DKIM для обеспечения соблюдения политик.

Пример рабочего процесса:

Правила SIEM срабатывают при получении электронных писем, не прошедших проверку SPF/DKIM/DMARC, особенно если домен отправителя совпадает с доменом важных целевых адресов (например, finance@company.com).

Б) Анализ контента и связей

Б.1. Подозрительная лексика и социальная инженерия

  • Срочность и угрозы: «Ваш аккаунт будет заблокирован, если…»

  • Запросы на предоставление конфиденциальных данных: «Пожалуйста, подтвердите свой пароль».

  • Выдача себя за руководителя: «мошенничество с использованием имени генерального директора», часто с просьбой о денежных переводах или подарочных картах.

B.2. Вредоносные URL-адреса

  • Методы обфускации: использование сервисов сокращения URL-адресов, шестнадцатеричной кодировки или символов Unicode.

  • Цепочки перенаправлений: ссылки, проходящие через несколько доменов, прежде чем привести на фишинговую страницу.

  • Сайты для сбора учетных данных: целевые страницы, имитирующие порталы авторизации. Методы обнаружения:

  • Проверка репутации URL-адресов (каналы информации об угрозах, анализ в песочнице).

  • Сопоставление шаблонов для известных фишинговых наборов.

  • Извлечение и детонация связей в изолированной среде.

C) Анализ креплений и полезной нагрузки

  • Вредоносные макросы: Офисные документы со встроенными скриптами VBA.

  • Исполняемые файлы: переименованные файлы .exe, замаскированные под PDF-файлы или встроенные в архивы.

  • Эксплойты нулевого дня: Неустраненные уязвимости, используемые с помощью специально созданных вложений.

Пример рабочего процесса:

Вложения в электронные письма автоматически отправляются в изолированную среду (песочницу); SIEM сопоставляет результаты проверки в песочнице с обнаружениями на конечных устройствах для быстрого локализации проблемы.

D) Данные о поведении и взаимодействии пользователей

  • Отслеживание кликов: мониторинг взаимодействия пользователей с подозрительными ссылками.

  • Отправка учетных данных: обнаружение внутренних учетных данных, размещенных на внешних сайтах.

  • Боковое перемещение: сопоставление доставки фишинговых писем с аномальными попытками аутентификации или повышением привилегий.

Стратегии раннего обнаружения фишинга

1. Ввод и корреляция данных в режиме реального времени.

  • Централизация журналов электронной почты: интеграция данных почтового шлюза, конечных устройств и SIEM-систем для унифицированного анализа.

  • Автоматизированный синтаксический анализ: используйте регулярные выражения, парсеры и скрипты обогащения для извлечения ключевых показателей.

2. Интеграция данных об угрозах

  • Обогащение индикаторов компрометации: сопоставление IP-адресов отправителей, URL-адресов и вложений с данными из источников информации об угрозах.

  • Динамические обновления: Правила обнаружения постоянно обновляются по мере появления новых фишинговых кампаний.

3. Анализ поведения пользователей

  • Базовый уровень нормальной активности: Проанализируйте типичные взаимоотношения отправителя и получателя, а также содержание сообщений.

  • Обнаружение аномалий: оповещение об отклонениях (например, сотрудник получает электронное письмо с внешнего домена, имитирующее письмо от руководителя).

4. Машинное обучение и автоматизация

  • Модели с обучением под наблюдением: Обучение классификаторов на размеченных данных фишинговых и нефишинговых электронных писем.

  • Методы обучения без учителя: выявление выбросов в закономерностях трафика электронной почты.

  • SOAR Playbooks: автоматизация сортировки, помещение подозрительных электронных писем в карантин, оповещение получателей и открытие заявок на расследование.

C) Сдерживание:

  1. Карантин: Удаление электронных писем из почтовых ящиков с помощью автоматизированных скриптов или интеграции с системами обнаружения и предотвращения вторжений (EDR).

  2. Индикаторы блокировки: Обновите списки блокировки сети, конечных устройств и почтового шлюза.

  3. Уведомление пользователей: Проинформируйте затронутых пользователей и предоставьте инструкции (сброс паролей, повышение осведомленности).

D) Меры по исправлению ситуации и извлеченные уроки:

  1. Сброс учетных данных: для скомпрометированных учетных записей.

  2. Документирование инцидента: фиксация хронологии событий, затронутых пользователей и предпринятых мер реагирования.

  3. Уточнение правил: Обновить логику обнаружения на основе характеристик атаки.

Передовые методы: выявление сложных фишинговых кампаний

Компрометация корпоративной электронной почты (BEC)

Атаки без полезной нагрузки: BEC-атаки часто не содержат вредоносного ПО; обнаружение основано на анализе содержимого и выявлении аномалий отправителя.

Перехват перехвата разговора: злоумышленники отвечают на существующие ветки обсуждений, используя взломанные учетные записи.

Тактика обнаружения: Мониторинг электронных писем, пересылаемых извне внутрь компании и содержащих финансовые запросы, а также изменений в моделях коммуникации.

Целевой фишинг

Целенаправленные атаки: Персонализированные электронные письма, содержащие ссылки на внутренние проекты, с использованием скомпрометированных данных.
Тактика обнаружения: Сопоставьте содержимое электронных писем с недавними утечками данных или публичными разглашениями.

Кампании нулевого дня и полиморфные кампании

Адаптивные полезные нагрузки: злоумышленники изменяют вложения и URL-адреса, чтобы обойти обнаружение на основе сигнатур.
Тактика обнаружения: Используйте режим «песочницы», поведенческий анализ и передовые эвристические методы.

Типичные проблемы и способы их преодоления

Большой объем запросов и ложные срабатывания:
Решение: Доработать правила обнаружения, использовать приоритизацию на основе машинного обучения и проверить результаты с помощью обратной связи от пользователей.

Методы уклонения: 
Решение: Объединить статический и динамический анализ, отслеживать новые зарегистрированные домены и сопоставлять полученные данные с информацией об угрозах.

Информирование пользователей: 
Решение: Регулярные симуляции фишинговых атак и обучение для снижения рискованного поведения и повышения точности сообщений о них.

Рекомендации по обнаружению фишинга

Непрерывная настройка правил и улучшение логики обнаружения

Регулярно пересматривайте и совершенствуйте правила обнаружения и логику корреляции SIEM-систем, чтобы адаптироваться к меняющимся тактикам, методам и процедурам фишинга (TTP). Это включает в себя:

  1. Анализ недавних случаев фишинга и ложных срабатываний/отрицательных результатов для выявления пробелов в обнаружении угроз.

  2. Включение новых индикаторов компрометации (IOC), таких как новые вредоносные домены, шаблоны отправителей и сигнатуры полезной нагрузки.

  3. Использование источников информации об угрозах для обновления списков блокировки и эвристических алгоритмов обнаружения практически в режиме реального времени.

  4. Перед внедрением в производственную среду необходимо провести тестирование и проверку изменений правил в контролируемой среде, чтобы минимизировать сбои в работе.

Подробные и практически применимые руководства по реагированию на инциденты

Разрабатывать и поддерживать подробные сценарии реагирования на инциденты, адаптированные к различным сценариям фишинга (например, сбор учетных данных, распространение вредоносного ПО, компрометация корпоративной электронной почты). Эффективные сценарии должны:

  1. Четко определите роли и обязанности на каждом этапе процесса реагирования.

  2. Включите пошаговые технические процедуры сбора доказательств, помещения электронных писем в карантин, уведомления пользователей и устранения проблем.

  3. Интегрируйте деревья решений для критериев эскалации и учета правовых/нормативных аспектов.

  4. Регулярно пересматривать и обновлять, чтобы отражать уроки, извлеченные из недавних инцидентов, а также изменения в организационной структуре или технологиях.

Межфункциональное сотрудничество и взаимодействие с заинтересованными сторонами

Установите эффективные каналы связи и рабочие процессы с ключевыми заинтересованными сторонами, включая ИТ-отдел, отдел кадров, юридический отдел и высшее руководство. Такое сотрудничество имеет решающее значение для:

  1. Координация оперативных мер по локализации угроз, таких как блокировка скомпрометированных учетных записей или ограничение доступа к сети.

  2. Обеспечение соблюдения нормативных требований и внутренних правил в ходе расследований.

  3. Управление взаимодействием с пользователями и минимизация сбоев в работе бизнеса во время крупных инцидентов.

  4. Проведение совместных анализов после инцидентов для выявления возможностей улучшения процессов и определения потребностей в обучении.

Операционная деятельность, основанная на показателях, и непрерывная отчетность.

Внедрить надежные метрики и системы отчетности для измерения и повышения эффективности работы в области обнаружения фишинга и реагирования на него. Ключевые метрики включают:

  1. Показатель выявления (истинно положительные результаты против ложноположительных/ложноотрицательных результатов).

  2. Среднее время обнаружения (MTTD) и среднее время реагирования (MTTR) на фишинговые инциденты.

  3. Объём и качество фишинговых писем, о которых сообщают пользователи.

  4. Тенденции в векторах атак, типах полезной нагрузки и целевых подразделениях.

  5. Соблюдение соглашений об уровне обслуживания (SLA) и нормативных требований.

  6. Используйте информационные панели и регулярные отчеты для информирования заинтересованных сторон, управления распределением ресурсов и обеспечения непрерывного совершенствования.

Обмен информацией об угрозах и взаимодействие с сообществом

Активно участвуйте в инициативах по обмену информацией об угрозах, как используя, так и предоставляя полезные разведывательные данные. Это укрепляет коллективную оборону за счет:

  1. Подписка на отраслевые информационные бюллетени ISAC, правительственные рекомендации и коммерческие каналы информации об угрозах для своевременного получения обновлений о фишинговых кампаниях и новых тактиках и методах.

  2. Обмен анонимизированными индикаторами компрометации, схемами атак и информацией об инцидентах с доверенными партнерами и отраслевыми группами.

  3. Интеграция внешних данных во внутренние механизмы обнаружения для проактивной защиты.

  4. Развитие связей с аналогичными организациями для обмена передовым опытом и координации мер реагирования на крупномасштабные или отраслевые угрозы.

Заключение

Данные электронной почты являются ключевым элементом для выявления, расследования и сдерживания фишинговых атак до того, как они перерастут в более масштабные. Сбор, анализ и сопоставление данных электронной почты, и совершенствование стратегии обнаружения позволяют опережать противников и защищать активы организации от постоянно существующей угрозы фишинга по электронной почте.

ссылка на оригинал статьи https://habr.com/ru/articles/1056700/