SOC’den Hikayeler – Kimlik bilgileri için kimlik avı


[ This article was originally published here ]

SOC’den Hikayeler, AT&T SOC analist ekibi tarafından müşteriler için yürütülen ve raporlanan son gerçek dünya güvenlik olayı araştırmalarını açıklayan bir blog dizisidir.

Yönetici Özeti

İnsanlar siber güvenlikte en zayıf halka olarak kabul edilir. Bir şirket saldırıları tespit etmek, caydırmak ve önlemek için güvenlik duvarlarına, antivirüslere ve diğer güvenlik yazılımlarına ne kadar yatırım yaparsa yapsın, insanlar her zaman uzlaşma için ana vektörler olacaktır.. Kuruluş içinde yeterli kullanıcı güvenliği eğitimi verilmezse, her zaman risk altında olacaklardır. Kimlik avı, en eski siber saldırılardan biridir, ancak etkinliği ve düşük maliyeti nedeniyle saldırganlar tarafından en çok kullanılanlardan biridir.

Ekip, bir kullanıcının Amerika Birleşik Devletleri (ABD) dışındaki bir ülkeden başarıyla oturum açtığını belirten bir alarm aldı. Daha ayrıntılı inceleme sonucunda, kullanıcının ABD dışından ilk kez oturum açtığı görüldü. Analist ekibi Müşteri yanıt verdi ve hesabı saldırgandan kurtarmak için gerekli adımları attı.

Soruşturma

İlk alarm incelemesi

Uzlaşma Göstergeleri (IOC)

İlk alarm, hesaba Amerika Birleşik Devletleri dışından erişilmesinin bir sonucu olarak tetiklendi. Son zamanlarda uzaktan çalışmaya geçiş nedeniyle, Sanal Özel Ağ’ın (VPN) veya seyahat etkinliğinin neden olabileceği farklı ülkelerden kullanıcıların hesaplarına eriştiğini görmek yaygın bir durumdur.

Harici erişim

Genişletilmiş soruşturma

Olay arama

Potansiyel olarak kötü amaçlı davranışı araştırırken, bir kullanıcının etkinliğinin temelinin nasıl göründüğünü anlamak önemlidir. Etkinlikleri için geçmiş verilere bakıldığında, günlükler bunun hesaba Amerika Birleşik Devletleri dışından erişildiği ilk örnek olduğunu gösterdi.

harici erişim araştırması

Günlükler, genellikle bir saldırgan bir hesabın güvenliğini aşmaya çalıştığında görülen, başka bir ülkeden herhangi bir başarısız oturum açma girişimi göstermedi.

Tepki

Soruşturmanın oluşturulması

Yeterli bilgi toplandıktan sonra, müşteri için bu kullanıcıdan bunun beklenip beklenmeyeceğini doğrulamak için bir araştırma oluşturuldu.

Yanıt kimlik avı

Müşteri etkileşimi

Soruşturma oluşturulduktan birkaç dakika sonra müşteri, kullanıcının bir kimlik avı e-postasına tıkladığını ve kimlik bilgilerini girdiğini doğruladı; saldırgan daha sonra bu bilgileri hesabına başarılı bir şekilde giriş yapmak için kullandı.

müşteri etkileşimi kimlik avı

Kimlik avı e-postası aşağıdaki siteye bir URL içeriyordu:

Kimlik avı e-postası

Bir kez tıklandığında, bu site, kullanıcıyı, kimlik bilgilerini toplamak için kullanılan bir e-posta hesabı için oturum açma kimliğini taklit eden bir sayfaya gönderiyordu.

Sınırlamalar ve fırsatlar

sınırlamalar

Bu araştırma için MXDR ekibi, Microsoft Office 365 Exchange ortamını tam olarak göremedi ve bu da ilk saldırının görünürlüğünü engelledi. Bu hesaba gönderilen kimlik avı e-postasını göremedik. SOC tarafından gözlemlenen tek olay, Amerika Birleşik Devletleri dışından başarılı oturum açma işlemleriydi.

reklam





Source link