Gerçek, en başarılı siber saldırılar basit bir e -posta ile başlar. Genel olarak, endüstri, Adobe ve Microsoft ofis belgeleri de dahil olmak üzere kötü niyetli bir ek yoluyla, kimliğe bürünme, kimlik avı, sahtekarlık ve daha ileri durumlarda bu tehdit alanını yakalamak için işletme e -postası uzlaşma (BEC) terimine uymuştur.
E-posta tipik olarak çok yönlü bir kötü amaçlı kampanyanın ilk aşamasıdır, saldırının her aşaması çeşitli göstergeler (IOCS) veya saptanma için anlatır. Ayrıca, e-posta kaynaklı ekler bilinen (N-Day) veya bilinmeyen (0 günlük) güvenlik açıkları için bir istismar içerebilir.
Ek olarak, tespit kaçınma olasılıkları sonsuzdur. Örneğin, şifrenin e -postanın içine gömüldüğü şifreli ekleri göz önünde bulundurun.
Tehdit aktörlerinin asimetrik bir avantajı vardır. Sadece bir kez doğru yapmak zorundalar, oysa savunucular zamanın% 100'ü olmalı. Daha da kötüsü, tehdit hacmi geçen yıla göre artarken, yetenek boşluğu da artıyor.
Yatırımcılar ve mucitler arasında yapay zeka (AI) ve makine öğrenimi (ML) ile bu boşluğu kapatmak için bir mücadele var, ancak henüz orada değiliz. Gerçekte, insan ve makinenin bir kombinasyonu ile optimal performans elde edilir.
Bu boşluğu ele almaya yardımcı olmak için, ortaya çıkan tehditlerin keşfini kitlesel olarak tasarlamak için tasarlanmış ücretsiz bir araştırma portalı olan Soruşturma Laboratuarları başlattık. Dört ana bileşen bu platformu yönlendirir:
DFI altındaki numuneler, sezgisel tarama, çoklu AV, itibar ve makine öğrenme modellerinin bir kombinasyonu ile bilinmeyen, şüpheli veya kötü niyetli olarak etiketlenir. Görsel bir bakış için aşağıdaki Şekil 1'e bakınız.
Araştırmacılar, sonuçları filtrelemek/sıralamak ve düşük tespit tehditlerini keşfetmek için çeşitli OAuth sağlayıcılar aracılığıyla kaydolabilir/giriş yapabilirler. Oradan, kampanyanın zaten "bildirilip bildirilmediğini" veya şu anda "tartışıldığını" belirlemek için göstergeler Rep-DB ve IOC-DB ile karşılaştırılabilir. Değilse, bunun daha fazla insan diseksiyonuna layık yeni bir tehdit olma potansiyeli vardır.
Blogumuzda veya Twitter (@Inquest) aracılığıyla okuyabileceğiniz keşifleri yapmak için bu platformu düzenli olarak tapıyoruz.
Okuyucuların takip edebileceği somut bir örnek olarak, Şekil-2'de gösterilen arama sonuçlarını göz önünde bulundurun.
Burada sonuçları hem soruşturma ML sınıflandırması hem de çoklu AV sonuçları içerenlere filtreliyoruz. Daha sonra, "bilinmeyen" ü filtreliyoruz ve örneği kötü niyetli olarak etiketleyen AV satıcılarının ham bir sayısı olan AV algılama sayısı (+) ile sıralıyoruz. Bu sayfada görünen numuneler daha fazla diseksiyon için harika adaylardır.
Bu kesin işlem, aşağıdaki Şekil 3'te tweetlenen "Bumblebee" örneğini keşfetmek için kullanıldı.
Liste/arama görünümünden herhangi bir örnek için ayrıntılar bölmesine delin ve çeşitli DFI katmanlarını görürsünüz. Buna ek olarak, ilginç çizgileri vurgulamak veya gereksiz olanları bastırmak için mantık katmanında açılır indirimler vardır.
Metin, IOC'lerin numaralandırıldığı ve aşağıda gösterildiği gibi Şekil 4'te gösterildiği gibi, endüstrinin favorisi CyberChef'e vurgulanabilir ve kapatılabilir.
Şekil 4'teki FilePath örneğinde, bir QBOT örneğine bakıyoruz. Bu benzersiz görünümlü FilePath'ı döndürerek, analiz için yaklaşık 200 ek örnek toplayabiliriz. Bu pivotun sonuçları Şekil 5'te gösterilmektedir.
Bu kampanya için kullanılan genel altyapıya ışık tutmak için tüm bu örneklerden ağla ilgili IOC'lerin çıkarılmasını otomatikleştirmek için Labs API'mızdan yararlanabilirsiniz.
İlginç kötü amaçlı yazılımları keşfetmeye yönelik bir başka yaklaşım, büyük posta sağlayıcılarının ortaya çıkan tehditleri engellemedeki etkinliğini ölçtüğümüz, Soruşturma Laboratuarlarının daha yeni bir bileşeni olan Trystero Projesi. Örneğin, Microsoft O365 ve/veya Google Çalışma Alanı'nı atladığı tespit edilen DFI örnekleri, araştırmacıların dalışları ve toplanması için kullanılabilir.
Sonuçta, Soruşturma Laboratuarlarının amacı, bilgi güvenliği topluluğuna, ortaya çıkan tehditleri keşfetmek ve engellemek için hem erişilebilir teknoloji hem de veriler sağlamaktır.
Kayıt ve kullanım ücretsizdir. Geri bildirim hoş karşılanır.
Bir topluluk gevşekliğinde bir dizi güç kullanıcısına ev sahipliği yapıyoruz, bu yüzden ava katılmak istiyorsanız bize ulaşmaktan çekinmeyin.
Soruşturma tarafından desteklenmektedir
Interpol 50 milyon dolar ele geçirdi, 2000 sosyal mühendis tutukladı
Bu eğitim paketi ile makine öğrenimi ile uygulamalı olun
Tarihi otel konaklaması, tamamlayıcı emotet maruziyeti dahil
FBI, işletme e -posta uzlaşmasının 43 milyar dolarlık bir aldatmaca olduğunu söylüyor
Yeni Bumblebee kötü amaçlı yazılım, Conti'nin Bazar yükleyicisinin siber saldırılarda değiştirilmesi
Kaynak: Bleeping Computer