[ This article was originally published here ]
Yönetici Özeti
bilgisayar korsanlarının kimlik avı ve DNS zehirlenmesi gibi çeşitli stratejiler, taktikler ve teknikler kullanarak meşru kimlik bilgilerine yetkisiz erişim elde etmek için kullandıkları bir tekniktir. Kimlik avı, en yaygın siber tehdit türüdür ve fidye yazılımı ve kimlik bilgileri toplama gibi daha zararlı saldırılara yol açabilir.
‘e göre, kimlik avı saldırıları, 2020’deki vakaların %71,5’inde kimlik bilgileri toplamayı hedef aldı.
kurbanları kişisel bilgilerini ifşa etmeleri veya kötü amaçlı yazılım indirmeleri için kandıran bir tür sosyal mühendislik saldırısıdır. İnsan savunmasına dayandığından, ortadan kaldırılması en zor siber tehditlerden biridir ve kuruluşların sürekli olarak personeline en yeni kimlik avı tekniklerini tespit etmeyi öğretmesi gerekir.
SOC ekibi, bir kullanıcının bir e-postadaki şüpheli bir URL’yi tıkladığına ilişkin bir uyarı aldı ve sonraki trafiğe izin verildi. Ancak ProofPoint, bazı potansiyel tehditleri önlemek için URL’yi etkili bir şekilde yeniden yazdı. SOC ekibi, saldırı ve lokavt arasındaki tüm olayları içeren bir araştırma raporu oluşturarak müşteriyi başarılı oltalama saldırısı hakkında bilgilendirdi.
Soruşturma
İlk alarm incelemesi
Uzlaşma Göstergeleri (IOC)
İlk uyarı, bir kullanıcı bir kimlik avı e-postasında bulunan ve geçmesine izin verilen bir bağlantıya tıkladığında tetiklendi. E-postanın içeriği, kullanıcıyı oturum açma kimlik bilgilerini ifşa etmesi için kandırmak için hazırlanmıştı. Bağlantının URL’sinde Açık Kaynak İstihbaratı’nda (OSINT) kötü bir itibar olduğunu gösteren bir imza bulunmadığından, ProofPoint ilk tıklamayı engellemedi.
Genişletilmiş soruşturma
Olay arama / Derin olay incelemesi
Kimlik avı vakalarını araştırırken, aynı kimlik avı e-postasını alan ve ek URL’ye tıklayan tüm alıcıları ve güvenlik duvarının HTTP URL isteğine izin verip vermediğini kontrol etmelisiniz. Önceki doksan günlük olayların gözden geçirilmesi, bir alıcının daha olduğunu ortaya çıkardı, ancak günlükler, e-postanın kullanıcının tıklamasından sonra karantinaya alındığını gösterdi. İlk kullanıcı tarafından kötü amaçlı URL’ye ilk tıklamaya izin verildi. Ancak ProofPoint’in URL savunma özelliği, buluşsal davranışa dayalı bir analiz gerçekleştirdi ve URL’nin kötü niyetli olduğunu belirledi. Sonuç olarak, ilk kullanıcı tarafından yapılan ikinci tıklama ve diğer kullanıcılar tarafından yapılan sonraki tıklamalar, ProofPoint tarafından etkili bir şekilde engellendi.
Bir OSINT analizi gerçekleştirildikten sonra, gönderenin e-postasının DMARC (Etki Alanı İleti Kimlik Doğrulama Raporlama ve Uyumluluk) ve MX kaydı kimlik doğrulamasını geçemediği belirlendi. Bu, e-postanın meşruiyetiyle ilgili endişeleri artırıyor. Ayrıca OSINT aramaları, her iki alıcı e-postasının da ele geçirildiğini gösteriyor, ancak kesin zaman bilinmiyor.
gönderenin etki alanını doğrulayarak e-postaların kimliğini doğrulamak ve kimlik avı saldırılarını önlemek için kullanılan bir protokoldür. Gönderenin alan adının e-postaların “Kimden” başlığındaki alan adıyla eşleşip eşleşmediğini kontrol eder. Eşleşmezlerse, e-posta sahtedir ve reddedilebilir veya spam olarak işaretlenebilir. Öte yandan, MX kayıtları, bir etki alanı adına e-posta mesajlarını kabul etmekten sorumlu posta sunucusunu belirten DNS kayıtlarıdır. Saldırganlar, e-posta trafiğini sahte bir posta sunucusuna yönlendirmek ve hassas bilgileri çalmak için MX kayıtlarını kullanabilir. Bu nedenle, DMARC ve MX kayıtları, e-posta trafiğinin meşru posta sunucularına yönlendirilmesini sağlayarak ve e-posta gönderenlerin gerçekliğini doğrulayarak kimlik avı saldırılarını önlemede çok önemlidir.
Urlscan.io ve screenshotmachine.com gibi gelişmiş araçlar kullanılarak e-postanın URL’si üzerinde daha fazla araştırma, e-postanın kötü amaçlı olduğunu belirledi – kullanıcı görünüm kimlik bilgilerini çıkarmaya çalışıyor. Ancak, eklerin dosya karması OSINT kaydına sahip değildir, bu da dosya ekinin bir tehdit oluşturup oluşturmadığını belirlemek için statik analizi imkansız hale getirir. Bu nedenle, dosyayı tam bir * analizle analiz ederek tanımlamak iyi bir seçenek olacaktır.
Korumalı alan, ana sistemi etkilemeden yazılım ve uygulamaları test etmek için kullanılan kontrollü bir ortamdır. Korumalı alan oluşturma önemlidir çünkü potansiyel güvenlik açıklarını, virüsleri ve kötü amaçlı yazılımları belirlemeye ve azaltmaya yardımcı olur. Ayrıca, korumalı alana yönelik potansiyel tehditlerin etkisini sınırlayarak üretim sisteminin zarar görme riskini en aza indirir ve kötü niyetli faaliyetlere karşı ekstra bir güvenlik katmanı sağlar.
Ek göstergeler için inceleme
Saldırgan bu noktada “Phishing” tekniğini kullanarak ağa “İlk Erişim (taktik)” sokmaya çalıştı.
Bir siber saldırının ilk erişim aşamasında, saldırganlar bir ağda ilk dayanaklarını elde etmek için güvenlik açıklarından yararlanma veya kimlik avı yapma gibi teknikler kullanır. Bu dayanak daha sonra daha fazla saldırı gerçekleştirmelerini sağlar. Bunu önlemek için kuruluşların sağlam bir savunma stratejisine sahip olması ve düzenli güvenlik değerlendirmeleri yapması gerekir.
Prova Noktası yaklaşımı
ProofPoint’in URL Savunması özelliği, kullanıcıları kötü amaçlı bağlantılardan korumak için çalışır. Bu özellik, maksimum koruma sağlamak için iki adımlı bir yaklaşım kullanır.
İlk olarak, bir URL’nin bilinen herhangi bir kötü niyetli imzası yoksa, ProofPoint’in URL Savunma özelliği, kullanıcının “URL yeniden yazıldı” özelliğini kullanarak URL’ye tıklamasına olanak tanır. Bu özellik birçok türde kötü amaçlı etkinliği önler, ancak ProofPoint’in buluşsal tabanlı analizi URL’nin potansiyel olarak kötü amaçlı davranış içerip içermediğini belirleyene kadar, kullanıcının kimlik bilgilerini paylaşması durumunda kimlik bilgilerinin kaybolmasına karşı savunmasız olabileceğini unutmamak önemlidir.
Kullanıcı bir URL’yi tıkladığında, ProofPoint’in sistemi olası kötü niyetli davranış belirtilerini belirlemek için hedef web sitesini analiz eder. Herhangi bir şüpheli aktivite tespit edilirse siteye erişim engellenir ve kullanıcıya bir uyarı mesajı gösterilir. Ancak, sistem herhangi bir kötü niyetli davranış tespit etmezse, kullanıcı hedef web sitesine ilerleyebilir.
ProofPoint’in URL Savunma özelliğinin kötü amaçlı bağlantılara karşı önemli koruma sağladığını, ancak her kimlik avı veya kötü amaçlı yazılım tabanlı saldırı örneğini tespit edemeyebileceğini unutmamak önemlidir. Bu nedenle, kullanıcılar e-postalardaki bağlantılara tıklarken dikkatli olmalı ve kimlik bilgisi kaybı riskini azaltmaya yardımcı olmak için çok faktörlü kimlik doğrulama ve çalışan eğitimi gibi ek güvenlik önlemleri almalıdır.
Cevap
Soruşturmanın oluşturulması
Olay müdahale süreci izlenerek soruşturma oluşturulmuştur. Soruşturma, olayın tanımlanmasını, olayın temel nedeninin bulunmasını ve uzlaşma Göstergelerini içermektedir. Ardından, hafifletme/iyileştirme adımları konusunda müşteriye önerilerde bulunduk. Gerekli aksiyonların alınması için müşteri ile iletişime geçildi.
Önerilen hafifletme adımları şunlardı:
- Hesap parolasını daha güçlü bir parolayla sıfırlama
- E-posta ve e-posta eklerini kaldırma
- Çok Faktörlü Kimlik Doğrulamayı (MFA) Etkinleştirme.
- URL etki alanını ve IP’yi engelleme.
- Varlık üzerinde bir virüsten koruma taraması çalıştırma.
Olay müdahalesi, siber güvenlik ihlallerini, olayları veya siber saldırıları yönetmek için kurumsal bir yaklaşım ve süreçtir. Birden fazla adım içerir:
- Bir olayı/saldırıyı belirleme
- Hasarı en aza indirme
- Temel nedeni ortadan kaldırmak
- Kurtarma maliyetinin ve süresinin en aza indirilmesi
- Olaydan ders çıkarmak
- önleyici tedbir almak
Müşteri etkileşimi
MXDR ekibi olaya hızla müdahale etti ve sorunu belirlemek için müşteriyle birlikte çalıştı. Birinin hesap kimlik bilgilerini kaybettiğini doğruladılar, ancak neyse ki, hesap devre dışı bırakılmadan önce herhangi bir şüpheli giriş tespit edilmedi. Şirket, önerilen adımları izlediklerini doğruladı, bu nedenle e-posta ve ekler karantinaya alındı, URL engellendi ve etkilenen cihaz antivirüs tarafından tarandı.
reklam