Отже, ваша організація збудувала захист від фішингової небезпеки. Вітаю! Але скажіть, що ви робитимете, коли зіткнетеся з реальними атаками в майбутньому? Чи готова ваша організація поділитись цією інформацією з іншими? Чи буде ваша компанія зібрати та зберігати дані про атаки, щоб запобігти подальшим спробам? Чи аналізуватимете код експлойтів, виявлений у фішингових електронних листах, що використовуються для поширення шкідливого дроппера і в кінцевому підсумку програми-вимагача? Коли трапляється інцидент безпеки, мають статися три корисні речі. По-перше, організація повинна автоматизувати дії у відповідь, використовуючи програмне забезпечення, яке або активно блокує атаку, або запускає сценарій, щоб зупинити поточний інцидент.
По-друге, компанія може збирати інформацію про кожну атаку, щоб скоротити час її виявлення та реагування в майбутньому. Зрештою, організація може ділитися частиною цієї інформації з іншими, що дозволяє взаємно скоротити час виявлення та реагування. Незважаючи на те, що деякі канали збору інформації про погрози марні або не зовсім легальні, багато з них є законними та корисними. Але було б наївно покладатися виключно на третю сторону, яка надала вам необхідні дані, щоб захистити середовище, яке організація створила і за яке відповідає. Хоча отримання інформації від експертів, які мають уявлення про тенденції та дійових осіб, є розумним кроком, він не повинен залишатися єдиним. У цьому розділі ми розглянемо процес збору відомостей про погрози, пов’язані з фішинговими електронними листами, за допомогою безкоштовної платформи для обміну даними: AT&T Alien Labs OTX, яка іноді називається AlienVault OTX. Ми також будемо повторно використовувати багато методів OSINT, про які ви дізналися раніше в цій книзі, цього разу для протилежної мети – перевірки того, чи є URL-адреса або адреса електронної пошти шкідливою.
Деякі постачальники розвідки загроз стягують плату з організації за використання даних, тоді як інші стягують плату з організації за створення даних. Але одним з постачальників, який є абсолютно безкоштовним і дозволяє будь-кому внести свій внесок, є AT&T Cybersecurity. Раніше відома як AlienVault, ця компанія управляє платформою Alien Labs Open Threat Exchange (OTX), що дозволяє підписуватися на канали кібербезпеки і публікувати власну інформацію.
За загальним визнанням, головною силою цієї платформи (безкоштовної) також є її головна слабкість, але позитивним є те, що вам не потрібно споживати будь-яку інформацію лише тому, що вона знаходиться на платформі; Ви повинні вибрати, які канали вас цікавлять, і підписатися на них безкоштовно.
Якщо організація використовує єдиний моніторинг безпеки (USM) або SEIM з відкритим вихідним кодом (OSSIM), вона може завантажувати підписані дані безпосередньо в USM, синхронізуючи SEIM з OTX API. Якщо організація не використовує USM, вона може безпосередньо підключити OTX до рамок Suricata, Bro та Trusted Automated Exchange of Indicator Information (TAXII); в іншому випадку він може використовувати API Java, Python або Go.
Як тільки у організації з’являться індикатори в потрібному форматі, вона може відразу приступати до їх пошуку в своїх комунікаціях за обраним для себе методом – користувальницькі скрипти, YARA, STIX, TAXII або щось подібне. Це дозволить організації виявляти і реагувати на відомі загрози.
Аналіз фішингової розсилки в OTX
А як щодо загроз, за якими спостерігала лише ваша організація? Як він може краще виявляти майбутні спроби і, можливо, врятувати інші організації від тих самих головних болів пізніше? Ось проста відповідь: створіть розвідку загроз.
Багато організацій не роблять цього з тієї простої причини, що не знають, з чого почати. Оскільки це окремий розділ у книзі про соціальну інженерію та OSINT, я пощаджу вас від філософських виправдань щодо створення інформації про загрози. Замість цього давайте виконаємо вправу.
По-перше, вам знадобляться деякі дані, які можна проаналізувати. Це може бути електронний лист, веб-сайт або файл. Щоб охопити всі три аспекти, припустимо, що організація отримує електронний лист із спрямовуванням користувачів на веб-сайт, який пропонує їм ввести облікові дані, а потім завантажує та намагається виконати файл, коли користувач надсилає облікові дані. Можна використовувати файл з іменем invoice.eml в репозиторії GitHub на https://cti.seosint.xyz/.
В OTX імпульс – це набір індикаторів компрометації для конкретної атаки. Увійдіть в OTX і виберіть Create Pulse на інформаційній панелі OTX, де ви будете представлені при кожному вході в систему (див. Рисунок 12.1).
Вам буде запропоновано кілька варіантів створення імпульсу (рис. 12.2). Ви можете імпортувати текст або веб-сайт, або ви можете вручну ввести індикатори.
Почнемо з копіювання та вставки всього джерела електронної пошти.
Мені подобається використовувати Thunderbird для перегляду джерела електронного листа. Це безкоштовний поштовий клієнт з відкритим кодом, який підтримується Mozilla. Після встановлення та запуску Thunderbird ви можете імпортувати будь-які збережені електронні листи до OTX у форматі .eml та розпочати аналіз.
Спочатку відкрийте листа до Thunderbird. Потім у верхньому правому куті виберіть More View Source (Ще – Перегляд джерела), як показано на рис. 12.3.
Після того, як електронна пошта відкрита як джерело, ви повинні побачити щось на зразок уривка на рис. 12.4. Це основний набір даних, який передається при відправці електронного листа, включаючи всі виконані перевірки, а також відправника і одержувачів електронного листа. Ви можете переглянути будь-який завантажений вами лист таким чином, іноді навіть у самому поштовому клієнті. Наприклад, у Gmail натисніть три крапки у верхньому правому куті електронного листа, а потім виберіть Показати оригінал.
Чому важливо переглядати джерело електронного листа? Це дає змогу побачити, звідки насправді надійшов електронний лист, а не покладатися на потенційно підроблену адресу відправника. Ви побачите як справжню, так і підроблену адресу електронної пошти, а також IP-адресу відправника.
Копіюючи та вставляючи цей електронний лист імпульсно, будьте обережні, щоб не вказати там IP-адресу вашого поштового сервера або будь-які інші адреси, що належать авторитетним постачальникам електронної пошти. Якщо ви додасте їх і почнете пошук, то отримаєте величезну кількість помилкових спрацьовувань, які при неправильному налаштуванні викличуть самозаспокоєння.
Тепер, коли у вас є інформація з джерела, ви готові імпортувати деякі показники. Індикатори – це точки даних, пов’язані з активністю, яку ви фіксуєте в імпульсі. У табл. У таблиці 12.1 наведені показники, які приймають OTX.
Індикатори, що використовуються в OTX
IPv4 – IPv4-адреса, вихідного, поштового, сервера або сайту, на якому розміщується фішингова або шкідлива програма.
IPv6 – IPv6-адреса, вихідного, поштового, сервера або сайту, на якому розміщується фішингова або шкідлива програма.
Domain – Домен, “на” якому “розміщено” поштовий, сервер відправника, або фішинговий сайт.
Hostname – Ім’я, хоста, або субдомен, вихідного, поштового сервера, або сайту, на якому розміщені фішингові або шкідливі програми.
Email – Адреса електронної пошти відправника.
URL – Уніфікований, вказівник, ресурсів (URL) сайту, на якому розміщено фішингову або шкідливу програму.
File hash – Одностороннє, криптографічне, уявлення, шкідливого файлу, що міститься у фішинговому листі. Воно може бути виконано в різних форматах, включаючи наступні:
MD5: 128-бітне, криптографічне представлення файлу з використанням алгоритму Message Digest 5;
SHA-1: 160-бітове, криптографічне представлення файлу з використанням алгоритму безпечного хешування;
SHA-256: 256-бітове, криптографічне представлення файлу з використанням 265 бітного алгоритму безпечного хешування.
PEHASH – Portable Executable Hash (peHash) – метод нечіткого хешування, який замість хешування всього файла виконує побайтове м’я файла и хешируючи їх.
IMPASH – Хеш-імпорту; схож на peHash, но відстежує бібліотеки DLL і інші файли, імпортовані кодом.
CIDR -Адреса, безкласової, міждоменної, маршрутизації, діапазону, мережевих, IP-адрес, які мають «домен, виражений» у вигляді «базової» IP-адреси, можливостей. Зазвичай використовується формат xxx.xxx.xxx.xxx/yy, де xxx. xxx.xxx.xxx – базова адрес IPv4, а yy – число от 1 до 32, позначаюча кількість можливих підмереж і хостів. Зазвичай в цьому діапазоні ви бачите числа від 24 до 32.
Filepath – Унікальне, місце, на робочій станції, де виявлені шкідливі файли.
MUTEX – Об’єкт взаємного виключення (mutual exclusion object, MUTEX) – це – об’єкт в програмі, призначений для того, десь, дещо, дещо, кілька одночасно використовувати ресурс, наприклад доступ к файлу.
CVE – Поширені «уразливості» та «ризики» (Common «Vulnerabili-ties» і «Exposures, CVE)» – «відповідально» розкриваються вразливості. Включення “CVE”, “імпульс” дозволяє “іншим” шукати “CVE” при “підписці” на канали. Це, особливо, корисно, коли фішингова електронна пошта намагається виконати якийсь експлойт на основі існуючої вразливості.
YARA – це аббревіатура, яку розшифровують або як «ще» один «рекурсивний» акронім» (Yet Another Recursive Acronym), або як (Yet Another Regular expression Analyzer). Це засіб суставлення шаблонів в файлах і ітерації в середовищі за допомогою SEIM або спеціального інструменту YARA, який підтримує Windows, MacOS і Linux.
Скопіюйте все джерело електронної пошти та вставте його в ліве поле зображення, а потім виберіть Extract Indicators (рисунок 12.5). Система проведе парсинг автоматично, але вам потрібно буде переглянути показники і перевірити, чи працюють вони.
Як видно на рис. 12.6, З електронного листа, який ви вставили, аналізатор витяг три показники.
Потрібно переконатися, що ці показники відносяться до імпульсу. Оскільки з перевірки джерела електронної пошти ви знаєте, що вказаний електронний лист належить відправнику, то повторно перевіряти його не потрібно. Але слід перевірити домени та IP-адреси. Для цього проведемо невеликий OSINT.
Потрібно визначити наступне: Кому належить кожен домен і IP-адреса? Чи служать домен та IP-адреса законній меті? Чи має власник домену будь-який контроль над даними, що передаються через його сервіси? Чи належать IP-адреси постачальникам послуг електронної пошти? Або це ми володіємо доменом або IP-адресою?
Можливі показники на рис. 12.7 не є цінними елементами інформації про загрози, тому, якщо OTX їх не містить, доведеться їх виключити. Ви зробите це пізніше в процесі, тому вам не доведеться аналізувати їх двічі.
Тепер перейдіть до списку Ecluded IOCs (виключені показники). Повторіть процедуру, яка використовувалася для ввімкнутих індикаторів для кожного елемента виключеного списку. Навскидку можна сказати, що деякі з них не відносяться до ознак загроз.
Зі списку, показаного тут, потрібно видалити наступне:
Три очевидні адреси Microsoft (by5pr19mb3713.namprd19.prod.outlook.com, by5pr19mb3970.namprd19.prod.outlook.com і nam12-mw2-obe. outbound.protection.outlook.com);
Дві очевидні адреси Google (mail-sor-f41.google.com і mx.google.com);
Ряд адрес GoDaddy (p3plibsmtp01-08.prod.phx3.secureserver.net, p3plsmtp21-01-26.prod. phx3.secureserver.net і p3plsmtp21-01.prod.phx3.secureserver.net) і 10.186.134.206, який є класом A, тобто приватною внутрішньою IP-адресою без підтримки маршрутизації.
OTX стверджує, що docsend.com є доменом у білому списку, але дозволяє користувачам завантажувати файли. Це означає, що розумно піти далі і перевірити, що саме відправник намагається прослизнути своїм жертвам. У світі цифрової криміналістики та шкідливих програм запуск потенційно небезпечного програмного забезпечення називається детонацією. Детонація може бути небезпечною, якщо ви використовуєте незахищену систему, так як вона може бути заражена. Я рекомендую використовувати для цього спеціальний Комп’ютер, ізольований від корпоративної мережі, або, принаймні, виділена віртуальна машина.
Крім віртуальної машини, рекомендую встановити захист від шкідливих програм (якщо це можливо), включити брандмауер на рівні хоста і мережі, використовувати VPN і (якщо вам це зручно) використовувати браузер Tor (або Brave, який пропонує подібний функціонал). Можна знайти в листах дуже неприємні речі і легко опинитися по той бік закону, намагаючись провести юридичне дослідження безпеки.
Відкрийте свою віртуальну машину в окремій системі та сегменті мережі, а не в основній мережі, за допомогою брандмауера та пристрою безпеки, що працюють між системою та рештою вашої домашньої лабораторії та мережі. Залежно від рівня аналізу, який ви збираєтеся виконувати, ви можете використовувати віртуальну машину Linux або Windows. Якщо ви хочете отримати уявлення про те, як повинна працювати атака, ви можете взяти вразливу систему Windows.
Встановіть Burp Suite на свій хост. Burp – це веб-проксі, який дозволяє перехоплювати та змінювати дані, що передаються між вами та веб-сайтом. Ви можете побачити запити, зроблені з вашої системи на веб-сайт, і отримані відповіді. Також є можливість відстежувати будь-які спливаючі вікна і безліч ненавмисних дій, таких як перенаправлення на шкідливі сайти. Щоб встановити Burp, завантажте безкоштовну версію спільноти з https://portswigger.net/burp/communitydownload/. Інсталяційний пакет міститиме скрипт з ім’ям типу burpsuite_community_linux_ v<#>_#_##.sh.
Введіть останню версію скрипта у показані тут команди:
chmod 744 burpsuite_community_linux_v<#>_#_##.sh ./burpsuite_community_linux_v<#>_#_##.sh
Після встановлення проксі ви можете використовувати графічний інтерфейс, щоб відкрити відрижку, натиснувши на значок відрижки або ввівши відрижку в меню операційної системи. Відрижка запропонує створити проект. Натисніть Далі, і вам буде запропоновано прийняти налаштування відрижки за замовчуванням або завантажити файл конфігурації. Наразі достатньо налаштувань за замовчуванням.
Потім направте трафік браузера через відрижку. Для цього відкрийте Firefox і натисніть на іконку меню, після чого прокрутіть вниз. Натисніть на Налаштування мережі. Вам буде запропоновано ввести інформацію про проксі-сервер, як показано на рис. 12.8. Виберіть Ручне налаштування проксі-сервера, а потім введіть IP-адресу 127.0.0.1 як HTTP-проксі та 8080 як порт. Виберіть параметр використання цього проксі-сервера для всіх протоколів.
Тепер, коли у вас встановлена відрижка і Firefox налаштований на маршрутизацію вашого трафіку через проксі-сервер, відкрийте Burp і переконайтеся, що він налаштований на перехоплення трафіку. Для цього виберіть вкладку Проксі-сервер, потім Перехопити. Нарешті, переконайтеся, що перехоплення ввімкнено.
Після того, як ви переконаєтеся, що відрижка налаштована правильно, ви можете використовувати її для перехоплення трафіку браузера (рисунок 12.9). Поки перехоплення ввімкнено, вам потрібно буде щоразу приймати рішення, пересилати чи скидати веб-запит. Це означає, що ви можете скидати шкідливий (або законний) трафік замість того, щоб надсилати його у веб-переглядач.
Тепер давайте відвідаємо веб-сайт, знайдений в електронному листі. Коли ви натискаєте на посилання через відрижку, веб-сайт завантажується. Здавалося б, цей сайт PayPal, але на рис.12.10 можна легко побачити, що це обман: зверніть увагу, що URL-адреса не містить слова PayPal і вказано домен верхнього рівня .es. Крім того, code=US&id=8799879&country=United States в кінці рядка говорить що використовується якась система відстеження.
Повна відсутність PayPal в URL-адресі, мабуть, найбільший червоний прапор. Якщо ви спробуєте відкрити це посилання в ізольованій системі (ізольованій системі або віртуальній машині, розглянутій раніше в цьому розділі), хост повинен бути невідомий. І, як ви можете бачити на рис. 12.11, Burp показує нам, що введення інформації та перехід за посиланням – це глухий кут, ймовірно, вказує на невдалу спробу збору облікових даних.
Той факт, що сайт нічого не робить, може свідчити про те, що PayPal або інший постачальник вжив заходів, можливо, використовуючи DMCA. Хоча це може свідчити про те, що зловмиснику просто не вистачило навичок. Однак важливо не ігнорувати загрозу, яку становить збір облікових даних. Як неодноразово зазначалося, люди все ще регулярно використовують один і той же пароль на декількох платформах, як особистих, так і бізнес-акаунтах. Багато сайтів не використовують і не підтримують багатофакторну аутентифікацію, що посилює цю загрозу.
Незважаючи на те, що посилання не працює, вам все одно доведеться додати його до імпульсу OTX. Перш ніж рухатися далі, додайте чотири IP-адреси, які ми визначили як нерелевантні до списку виключених індикаторів, поставивши прапорці поруч із ними та натиснувши Виключити .
У цій фішинговій кампанії не було завантажуваних файлів. Але що робити, якщо вони є? Коротко зупинимося на їх аналізі. Першим кроком є отримання криптографічних хешів цих файлів – їх наявність дозволяє порівняти відомі версії файлів з іншими версіями, щоб побачити, чи щось змінилося. Коли виявлено потенційно шкідливе програмне забезпечення, ви отримуєте криптографічний хеш файлу, щоб прискорити його пошук. Потім ви порівнюєте хеші файлів у вашій системі з хешами відомих шкідливих програм і отримуєте попередження в разі збігів. У деяких випадках шкідливе програмне забезпечення може змінити завантажувальний файл, тому хеш не залишиться незмінним. Це так зване поліморфне шкідливе програмне забезпечення, і ця дискусія для зовсім іншої книги.
Хешувати файл можна за допомогою різних інструментів. Деякі з них вже встановлені на Linux.
Іноді варто отримати кілька видів хешів, тому що деякі системи будуть перевіряти файли, використовуючи тільки один алгоритм хешування.
Щоб створити хеш файлу MD5, введіть таку команду:
md5sum ім’я файлу
Щоб створити хеш файлу SHA-1, введіть команду:
sha1sum ім’я файлу
Щоб створити хеш файлу SHA-256, введіть:
sha256sum ім’я файлу
Для хешу файлу SHA-512 введіть:
sha512sum ім’я файлу
Потім додайте кожен хеш в OTX. Якщо ви вирішите описати цей інцидент і опублікувати звіт, ви можете імпортувати імпульс з URL-адреси та вказати URL-адресу як ресурс. У наступних розділах ми додатково проаналізуємо домен esy.es.
Проведення OSINT для аналізу загроз
OTX — не єдиний ресурс, який можна використовувати для аналізу шкідливих посилань або електронних листів. У цьому розділі ми розглянемо кілька інших ресурсів. Ви можете дізнатися про деякі з цих інструментів і прийомів з OSINT-розділів цієї книги. Тут ви скористаєтеся цими ресурсами, щоб дізнатися, чи є сайт шкідливим.
Веб-сайт https://www.virustotal.com/, що належить Chronicle Security, дозволяє дослідникам і аналітикам загроз сканувати файли на наявність шкідливих програм за допомогою більш ніж 60 антивірусних платформ, не купуючи кожну з них. Це також дозволяє перевірити статус будь-яких URL-адрес.
Також VirusTotal має API для аналізу за допомогою користувацьких скриптів. Служба пошуку графічного інтерфейсу приймає для аналізу такі типи даних: фактично завантажений файл, URL-адреса, IP-адреса, домен або хеш файлу.
Ви вже запустили команду WHOIS під час збирання даних OSINT. Але якщо ви використовуєте базу даних WHOIS для аналізу зловмисного програмного забезпечення, вам знадобиться додаткова інформація. Примітно, що крім звичайної інформації WHOIS, можна побачити країну, в якій зареєстрований домен, і номер його автономної системи (ASN). ASN допоможе пізніше, коли ви використовуєте PhishTank для аналізу систем, з яких походить фішинговий електронний лист. На рис. 12.12 показує запис WHOIS для, здавалося б, нешкідливого домену esy.es.
Ви бачите, що домен зареєстрований в регіоні Нідерланди під назвою Йорданія востаннє оновлено 9 червня 2021 року і що вони використовують сервери імен, розміщені на main-hosting.com. У свою чергу, виконання пошуку WHOIS для main-hosting.com показує, що він розміщений на godaddy.com, тоді як авторитетна хостингова фірма, швидше за все, розмістить його на власному сервері. Ви також повинні бути обережні з нещодавно зареєстрованими доменами. Молоді домени вимагають особливого скептицизму і аналізу, так як багато хто з них шкідливі. Домен 8-денної давності та сервер імен 43-денної давності не обов’язково шкідливі, але потребують подальшого розслідування. У цьому випадку ви повинні включити обидва домени та будь-які пов’язані IP-адреси у свій OTX boost.
Що відображатиметься в записі WHOIS надійного сайту? 12.13 показаний результат WHOIS для nostarch.com.
По-перше, зверніть увагу, що країна реєстрації – Ісландія. Організації зазвичай використовують такі сервіси, як WhoisGuard або конфіденційність домену, щоб приховати своє місцезнаходження, і це не є безпосереднім приводом для занепокоєння або подальшого аналізу. Якщо ви подивитеся на дату, ви побачите, що цей домен був створений в 1996 році і включає в себе зареєстрований і активний веб-сайт.
По-друге, ASN значиться як Cloudflare. Використання авторитетної служби Cloudflare означає, що сайт, швидше за все, не є шкідливим, оскільки мережі доставки вмісту, такі як Cloudflare, зазвичай видаляють будь-який підозрілий вміст. Ми також бачимо, що цей домен зазнав трьох змін на чотирьох серверах імен за 17 років. Це нормально і зазвичай вказує на звичайну зміну постачальника послуг. Технології сильно змінилися з 1996 року, тому абсолютно нормально час від часу змінювати постачальників послуг і записи, щоб впровадити нові технології.
PhishTank (https://phishtank.com/) – це безкоштовна платформа фішингового скринінгу, керована OpenDNS. Він дозволяє шукати за доменом, URL-адресою або ASN. З мого досвіду, пошук ASN є найбільш ефективним. Але оскільки у вас немає ASN для потенційно шкідливого домену nurrahmahgroup.esy.es, вам потрібно шукати за доменом та URL-адресою. На рисунку 12.14 показаний результат цього пошуку.
Як видно з рис. 12.15, обшук нічого не дає. Це не означає, що URL-адреса, яку ви перевіряєте, не є фішингом, просто ніхто не повідомляв про неї.
Оскільки сайт не працює, я повідомлю про це. Щоб запустити звіт, натисніть Додати його в танк? (Додати до диска?) під повідомленням про те, що про сайт нічого не відомо. Потім введіть URL-адресу фішингового сайту. У цьому випадку вам потрібно буде вставити тіло електронного листа в три звіти в танку (якщо ви будете їх надсилати), щоб зв’язати всі три використовувані домени. Ви також вибираєте Microsoft як організацію, на яку посилається електронний лист, оскільки вони стверджують, що відправник належить до Office 365. Завершивши, натисніть кнопку Надіслати .
На рис. 12.16 наведено приклад введення інформації, пов’язаної з фішингом, в PhishTank для включення в базу даних.
ThreatCrowd (https://www.threatcrowd.org/) – частина кібербезпеки AT&T, забезпечує візуалізацію легітимності доменів, IP-адрес та інших показників, таких як хеші. Як і у випадку з OTX та іншими платформами, ви можете отримати доступ до нього самостійно або за посиланнями в ThreatMiner (обговорюється в наступному розділі). 12.17 показана візуалізація доменної nurrahmahgroup.esy.es.
У цій візуалізації ви можете побачити, як різні системи, хеші, домени та інші функції взаємодіють з цікавить нас системою. Це може бути дуже корисно при створенні програми виявлення кіберзагроз або при поглибленому вивченні потенційного супротивника. Графічний вихід також служить джерелом відмінних ілюстрацій при написанні звітів.
ThreatMiner (https://www.threatminer.org/) отримує інформацію з кількох інших джерел інформації про загрози, щоб отримати єдине уявлення про те, що говорять інші платформи. ThreatMiner дає змогу швидко отримати уявлення про ймовірність зловмисного наміру. Як і все інше, це не ідеальний інструмент, але він один з найкращих, тим більше, що він безкоштовний.
На веб-сайті ThreatMiner можна шукати індикатори або записи APT Notes. APT Notes – це сховище загальнодоступних статей і блогів, відсортованих за роками та пов’язаних зі шкідливими кампаніями, діями або програмним забезпеченням, пов’язаними з розширеними групами постійних загроз або наборами інструментів.
Оскільки деякі показники у вас вже є, давайте спочатку їх пошукаємо. Як і OTX, ThreatMiner може обробляти різні типи індикаторів, деякі з яких відрізняються від OTX. Список індикаторів включає домени, IP-адреси, хеші (MD5, SHA-1 і SHA-256), адресу електронної пошти, нотатки APT, сертифікати SSL/TLS, користувальницькі агенти, імена антивірусів, імена файлів, URI, ключі реєстру та м’ютекси.
Ось одна з унікальних особливостей ThreatMiner: він відкриває панель у лівій частині екрана, на якій відображаються схожі результати пошуку Google. Там можна побачити дані WHOIS по представленому показнику, якщо це необхідно.
У нижній частині екрана будуть посилання на інші ресурси, такі як RiskIQ, PassiveTotal, VirusTotal, DomainTools, ThreatCrowd, OTX, SecurityTrails і Robtex.
На рисунку 12.18 представлені результати пошуку nurrahmahgroup.esy.es.
Під відповідними ресурсами ви помітите, що для домену немає приміток APT. Також немає інформації про пов’язані пасивні DNS, субдомени, пов’язані URL-адреси або зразки шкідливого програмного забезпечення. Враховуючи, що фішинговий електронний лист, який ви проаналізували, старий, а домен був зареєстрований нещодавно, це очікуваний результат. У разі більш зрілого індикатора або домену, який не був видалений, ви можете побачити більше інформації тут.
Ви можете запитати: якщо ThreatMiner шукає інформацію на всіх вищезгаданих сайтах, чому я чекав до кінця розділу, щоб показати вам його можливості? Щоб ви краще розуміли, як виконати аналіз самостійно. Коли я аналізую загрози, що ховаються у фішингових листах, я часто починаю з двох відкритих вікон: OTX і ThreatMiner. Щоб скористатися інформацією, яку ThreatMiner ідентифікує як пов’язану, просто натисніть посилання.
Ми використовували матеріали з книги “Соціальна інженерія та етичний хакінг на практиці”, які були написані Джо Греєм.
