[ This article was originally published here ]
SOC’den Hikayeler, AT&T SOC analist ekibi tarafından müşteriler için yürütülen ve raporlanan son gerçek dünya güvenlik olayı araştırmalarını açıklayan bir blog dizisidir.
Yönetici Özeti
İnsanlar siber güvenlikte en zayıf halka olarak kabul edilir. Bir şirket saldırıları tespit etmek, caydırmak ve önlemek için güvenlik duvarlarına, antivirüslere ve diğer güvenlik yazılımlarına ne kadar yatırım yaparsa yapsın, insanlar her zaman uzlaşma için ana vektörler olacaktır.. Kuruluş içinde yeterli kullanıcı güvenliği eğitimi verilmezse, her zaman risk altında olacaklardır. Kimlik avı, en eski siber saldırılardan biridir, ancak etkinliği ve düşük maliyeti nedeniyle saldırganlar tarafından en çok kullanılanlardan biridir.
Ekip, bir kullanıcının Amerika Birleşik Devletleri (ABD) dışındaki bir ülkeden başarıyla oturum açtığını belirten bir alarm aldı. Daha ayrıntılı inceleme sonucunda, kullanıcının ABD dışından ilk kez oturum açtığı görüldü. Analist ekibi Müşteri yanıt verdi ve hesabı saldırgandan kurtarmak için gerekli adımları attı.
Soruşturma
İlk alarm incelemesi
Uzlaşma Göstergeleri (IOC)
İlk alarm, hesaba Amerika Birleşik Devletleri dışından erişilmesinin bir sonucu olarak tetiklendi. Son zamanlarda uzaktan çalışmaya geçiş nedeniyle, Sanal Özel Ağ’ın (VPN) veya seyahat etkinliğinin neden olabileceği farklı ülkelerden kullanıcıların hesaplarına eriştiğini görmek yaygın bir durumdur.
Genişletilmiş soruşturma
Olay arama
Potansiyel olarak kötü amaçlı davranışı araştırırken, bir kullanıcının etkinliğinin temelinin nasıl göründüğünü anlamak önemlidir. Etkinlikleri için geçmiş verilere bakıldığında, günlükler bunun hesaba Amerika Birleşik Devletleri dışından erişildiği ilk örnek olduğunu gösterdi.
Günlükler, genellikle bir saldırgan bir hesabın güvenliğini aşmaya çalıştığında görülen, başka bir ülkeden herhangi bir başarısız oturum açma girişimi göstermedi.
Tepki
Soruşturmanın oluşturulması
Yeterli bilgi toplandıktan sonra, müşteri için bu kullanıcıdan bunun beklenip beklenmeyeceğini doğrulamak için bir araştırma oluşturuldu.
Müşteri etkileşimi
Soruşturma oluşturulduktan birkaç dakika sonra müşteri, kullanıcının bir kimlik avı e-postasına tıkladığını ve kimlik bilgilerini girdiğini doğruladı; saldırgan daha sonra bu bilgileri hesabına başarılı bir şekilde giriş yapmak için kullandı.
Kimlik avı e-postası aşağıdaki siteye bir URL içeriyordu:
Bir kez tıklandığında, bu site, kullanıcıyı, kimlik bilgilerini toplamak için kullanılan bir e-posta hesabı için oturum açma kimliğini taklit eden bir sayfaya gönderiyordu.
Sınırlamalar ve fırsatlar
sınırlamalar
Bu araştırma için MXDR ekibi, Microsoft Office 365 Exchange ortamını tam olarak göremedi ve bu da ilk saldırının görünürlüğünü engelledi. Bu hesaba gönderilen kimlik avı e-postasını göremedik. SOC tarafından gözlemlenen tek olay, Amerika Birleşik Devletleri dışından başarılı oturum açma işlemleriydi.
reklam