Секрети OSINT для виявлення фішингових електронних листів

Фішингові атаки є однією з найпоширеніших кіберзагроз, спрямованих на крадіжку конфіденційної інформації та фінансових ресурсів користувачів. Зловмисники надсилають електронні листи, що імітують легітимні повідомлення від відомих компаній або установ, спонукаючи одержувачів розкрити особисті дані або перейти за шкідливими посиланнями.

Для виявлення кіберзлочинців слід звертати увагу на такі ознаки, як IP-адреси та домени, що використовувалися під час атак. Вони відомі як індикатори компрометації (IOC), термін, який буде розглянуто детальніше пізніше.

Інформацію про IOC можна знайти за допомогою спеціалізованих інструментів, що містять дані про хакерську діяльність, кіберзлочини та результати попередніх розслідувань. Один із розглянутих прикладів покаже ситуацію, коли певний IOC неодноразово з’являвся у розслідуваннях різних атак, пов’язаних із конкретною хакерською групою.

Аналіз підозрілого файлу через Any.Run дозволяє визначити, чи містить він загрозу, а також знайти відповідні IOC. Додатково буде розглянуто, що таке IOC і як проводиться їх дослідження.

Окремо буде показано, як шукати звіти та копії шкідливих файлів, що використовувалися у злочинних операціях, через відкриті бази даних.

Спроби фішингу часто передбачають надсилання якогось файлу з надією, що одержувач клацне його. Ці файли фактично можуть бути досліджені на наявність загроз або інформації, що розкриває відправника. Дивно, але таке завдання не потребує глибоких знань з кібербезпеки. Вам потрібен лише такий інструмент, як Any.Run, який ми тут розглянемо.

ANY.RUN — це те, що відоме як інтерактивна онлайн-пісочниця шкідливих програм, по суті віртуальна комп’ютерна система, яка дублює функціональність реального пристрою. Ця платформа дозволяє фахівцям із кібербезпеки безпечно запускати та ретельно перевіряти шкідливе програмне забезпечення, не ризикуючи завдати шкоди своєму обладнанню чи мережі.

• Безпечне середовище: пісочниця — це повністю ізольований віртуальний простір, який гарантує, що будь-яке шкідливе програмне забезпечення не зможе вплинути на базову хост-систему чи мережу. Це як спостерігати за бактеріями під мікроскопом — повністю стримано та безпечно.

• Аналіз у реальному часі: такі платформи, як ANY.RUN, забезпечують взаємодію зі зловмисним програмним забезпеченням у режимі реального часу, що є критично важливим, оскільки багато типів зловмисного програмного забезпечення розкривають свою справжню поведінку лише під час взаємодії з користувачем, наприклад відкриття документа чи натискання посилання.

• Пряме спостереження: аналітики мають можливість безпосередньо взаємодіяти зі зловмисним програмним забезпеченням, запускаючи його функції, імітуючи дії користувача, як-от натискання, введення даних або відкриття файлів. Це пряме спостереження допомагає аналітикам побачити, як саме зловмисне програмне забезпечення поводиться в реальному часі.

• Комплексне звітування: під час роботи зловмисного програмного забезпечення пісочниця ретельно реєструє його дії, від мережевих спроб до системних змін і дій з файлами. Ці детальні звіти мають вирішальне значення для розуміння тактики зловмисного програмного забезпечення та розробки ефективних заходів протидії.

Використання ANY.RUN для безпечного відкриття шкідливого документа Коли ви завантажуєте шкідливий документ до ANY.RUN, пісочниця імітує те, що сталося б, якби документ було відкрито за звичайних обставин:

• Виконання документа: документ активується у віртуальному середовищі, запускаючи будь-які вбудовані сценарії або код.

• Моніторинг дій: платформа відстежує поведінку документа, відзначаючи будь-які спроби доступу до Інтернету, зв’язки з контрольними серверами або активації додаткових зловмисних програм.

• Взаємодія з користувачем: Аналітики можуть моделювати типові взаємодії з користувачем, як-от увімкнення макросів або натискання посилань на документи, щоб спостерігати будь-яку результуючу поведінку.

• Протоколи безпеки: під час цього процесу ANY.RUN підтримує суворі протоколи ізоляції, щоб запобігти проникненню зловмисного програмного забезпечення в реальні системи.

При аналізі файлу, отриманого особисто, варто дотримуватися обережності, особливо під час його переміщення з електронної пошти до Any.Run. Найбезпечніше доручити цей процес фахівцю з кібербезпеки. Якщо ж ухвалюється рішення про самостійний аналіз, мінімальним заходом безпеки буде відкриття електронної пошти у віртуальному середовищі з використанням віртуального браузера. Хоча це не гарантує повного захисту, такий підхід значно знижує ризики.

Одним із варіантів для безпечнішого веб-дослідження є Browser.lol. Ця платформа надає віртуальні веб-комп’ютери з віртуальними браузерами, що забезпечують додатковий рівень ізоляції під час відкриття електронних листів і роботи з підозрілими файлами. Незважаючи на те, що абсолютна безпека не гарантується, використання Browser.lol допомагає мінімізувати потенційні загрози перед завантаженням файлів для подальшого аналізу.

Розгляд основ аналізу файлів в Any.Run зосереджується на пошуку важливої інформації, що допомагає визначити потенційні загрози.

Для початку необхідно перейти на платформу Any.Run. Створення облікового запису можливе безкоштовно, однак для реєстрації потрібно вказати «ділову електронну адресу», тобто таку, що не використовує популярні домени на кшталт Gmail або Yahoo.

Після завантаження файлу Any.Run автоматично розпочне його аналіз. У правому верхньому куті сторінки відображається статус перевірки, повідомляючи, чи було виявлено загрозу. Відсутність попереджень не є гарантією безпеки, оскільки це лише перший етап дослідження.

Одним із ключових аспектів аналізу є вкладка IOC, що розшифровується як «Індикатори компрометації». Вона містить дані про можливу шкідливу діяльність файлу, зокрема незвичайні IP-адреси, підозрілі зміни у файлах або з’єднання з відомими джерелами шкідливого програмного забезпечення.

Навіть без глибоких знань у кібербезпеці вкладка IOC надає необхідну інформацію для оцінки рівня загрози. Надалі цей розділ може допомогти ідентифікувати хакерів, причетних до розповсюдження шкідливого файлу.

Аналізуючи ці індикатори, можна зробити висновок про те, чи є файл частиною фішингової атаки або поширення зловмисного програмного забезпечення, що дозволяє наблизитися до розуміння його джерела та мети.

У представленому прикладі файл позначено як такий, що містить підозрілу активність. Для отримання детальнішої інформації відкривається вкладка IOC та аналізуються знайдені індикатори.

Тут ми бачимо список визначених IOC, і якщо ви наведете курсор на символи поруч із кожним IOC, ви отримаєте коротке пояснення щодо оціненого рівня загрози.

Ви також можете отримати метадані з документа. Усі PDF-файли мають метадані, і це вказано в розділі Static Discovering. Щоб знайти цю інформацію, клацніть на назві файлу.

І тут ми бачимо метадані, які показують, що документ було створено 10 березня 2021 року за допомогою Microsoft Word 2016. У деяких випадках метадані PDF навіть показуватимуть вам ім’я людини, яка його створила. У цьому випадку автор ідентифікується як «Служба підтримки PayPal», що не узгоджується з тим фактом, що відправник стверджував, що він із служби підтримки клієнтів Netflix.

Давайте закриємо це вікно та подивимося на праву частину головної сторінки, тут показано часову шкалу процесів, які запускалися під час відкриття файлу. Ми бачимо, що процес AcroRD32.exe викликає занепокоєння.

Клацніть на процес, щоб відкрити детальну сторінку нижче з оцінкою та попередженням. Якщо ви оглянете нове вікно, ви побачите, що там є вкладка «Додаткова інформація», на яку можна натиснути, щоб отримати ще більше інформації.

Це відкриває цілу нову сторінку з описом того, чому це вважається підозрілим.

Повернемося на головну сторінку. Подивіться, що у лівому верхньому полі є зображення того, що з’явилося у вікні дисплея віртуальної машини під час відкриття файлу. Є набір зображень у хронологічному порядку. Просто наведіть курсор миші, щоб прокручувати між ними. Тут ми бачимо, що PDF-файл нібито (хоча, очевидно, ні) від Netflix із запитом на ваші платіжні дані.

У нас є ще одна область, на яку варто звернути увагу. Зліва внизу є вкладка «Загрози»

Клацніть на вкладці, щоб переглянути додаткові індикатори трафіку (ініційованого файлом), які можуть бути ознаками загроз. Прикладом може бути те, що файл ініціює надсилання повідомлення хакерам зі словами «надішліть сюди зловмисне програмне забезпечення».

Це основний огляд того, як можна перевірити підозрілий файл за допомогою Any.Run

Головне тут полягає в тому, що навіть якщо ви не маєте жодних знань у цій предметній області, ви все одно можете побачити, чи визначено файл як небезпечний. Існують інші інструменти, які можна використовувати для аналізу підозрілих файлів, наприклад virustotal.com і hybrid-analysis.com

Коли ви маєте справу з кіберзагрозами, збір розвідувальних даних полягає в ідентифікації та інтерпретації індикаторів компрометації (IOC). Вони можуть включати підозрілі IP-адреси, інформацію електронної пошти, хеші файлів або URL-адреси, і вони надають важливі підказки для розуміння та пом’якшення загрози. У цьому розділі будуть описані основні інструменти та процеси для дослідження IOC, відстеження зловмисників і оцінки їхніх можливостей.

Одним із найкращих ресурсів для відстеження шкідливих дій є Abuse.ch, дослідницький проект, який допомагає фахівцям із кібербезпеки відстежувати зловмисне програмне забезпечення та ботнети. Abuse.ch, розміщений Інститутом кібербезпеки та інженерії Бернського університету прикладних наук, надає кілька платформ для моніторингу та дослідження загроз, пов’язаних із шкідливим програмним забезпеченням:

• Malware Bazaar – репозиторій для обміну та пошуку зразків шкідливого програмного забезпечення.

• Feodo Tracker – відстежує інфраструктуру управління та контролю ботнетів (C2), зокрема пов’язану з відомими ботнетами, такими як Emotet, Dridex і TrickBot.

• Чорний список SSL – надає блокований список шкідливих сертифікатів SSL і відбитків пальців JA3/JA3S, щоб допомогти ідентифікувати підозрілий трафік SSL.

• URL Haus – відстежує та ділиться інформацією про сайти, що розповсюджують зловмисне програмне забезпечення.

• Threat Fox — фокусується на обміні IOC, що робить його цінним ресурсом для виявлення скомпрометованих доменів, IP-адрес та інших шкідливих точок даних.

Ці платформи пропонують надійну відправну точку для виявлення шкідливих об’єктів. Незалежно від того, шукаєте ви ботнет чи намагаєтесь відстежити інфраструктуру, яка використовується у фішингових кампаніях, Abuse.ch може надати вам важливу інформацію.

Для URL-адрес такі інструменти, як Level Blue Labs і URLScan.io, дозволяють перевірити, чи залучений сайт до фішингу, розповсюдження зловмисного програмного забезпечення чи інших шкідливих дій. Ввівши підозрілу URL-адресу, ви можете побачити з’єднання, які він створює, і будь-які сценарії чи переспрямування, які він використовує. Це допоможе вам визначити, чи небезпечна URL-адреса, перш ніж вживати подальших дій.

Сканування URL-адрес також дозволяє шукати минулі сканування (https://urlscan.io/search/), що в цьому випадку дає нам змогу побачити, якими були результати сканування URL-адрес у 2021 році.

Також слідкуйте за скороченими URL-адресами (наприклад, “bit.ly4enla45c” або “tinyurl.com/4emdh45c”). Є кілька інструментів з відкритим кодом, щоб скасувати скорочення цих URL-адрес і виявити справжнє призначення домену (наприклад, unshorten.it, urlex.org і checkshorturl.com).

Що стосується IP-адрес, використання платформи Cisco Talos Intelligence є ефективним способом збору довідкової інформації. Talos надає інформацію про репутацію IP, поведінку домену та будь-яку пов’язану зловмисну ​​діяльність. Це цінний інструмент для розуміння того, чи була конкретна IP-адреса залучена до попередніх кібератак.

Скористаємося прикладом із життя. У 2021 році криптокомпанію було зламано, і компанія опублікувала для громадськості скріншот фішингового електронного листа, надісланого компанії перед атакою.

Зі знімка екрана ми знаємо, що фішинговий документ мав назву «Pantera Capital Investment Agreement(Protected).docx» і що його було надіслано компанії у квітні 2021 року.

Отже, ми хочемо знайти файл під назвою «Pantera Capital Investment Agreement(Protected).docx», завантажений у 2021 році на ANY.RUN. Any.Run є дуже популярним інструментом, який використовують професіонали з кібербезпеки в усьому світі, тому розумно очікувати, що хтось використав би цей інструмент для перевірки такого файлу. Як зазначалося, Any.Run має публічні звіти про свої аналізи за багато років тому.

Для початку увійдіть на платформу ANY.RUN. Якщо у вас немає облікового запису, вам потрібно буде зареєструвати безкоштовний обліковий запис.

Використовуйте функцію пошуку, щоб знайти файл за назвою, хешем або іншими ідентифікаторами. Якщо файл був загальнодоступний у спільноті ANY.RUN або надісланий неконфіденційно, він має з’явитися в їх базі даних. За допомогою цієї інформації ми відкриваємо базу даних аналізу зловмисного програмного забезпечення, наприклад Any.Run, і використовуємо функцію загального пошуку.

Схоже, що невідомий користувач надіслав документ Any.Run для аналізу ще в квітні 2021 року, і веб-сайт зберіг версію у своїй базі даних записів.

Відкриваємо звіт Any.Run про файл. Якщо ми хочемо це зробити, ми також можемо вибрати, щоб Any.Run знову відкрив файл у пісочниці, але зараз це не обов’язково, оскільки звіт містить усю необхідну інформацію.

Одразу ми бачимо, що на одному зі скріншотів віртуального робочого столу відкриття документа запускає Microsoft Word.

Якщо ви уважно придивитеся, то побачите, що є повідомлення, яке інформує користувача про те, що Word завантажує щось із домену «download.azure-safe.com».

Звіт показує, що після відкриття документа файл зробив автоматичні запити до таких доменів та IP-адрес:

• 104.168.249.46

• 23.45.105.185

• 195.138.255.17

• 195.138.255.18

• http://x1.c.lencr.org

• http://r3.o.lencr.org

• download.azure-safe.com

• azure-drive.com

• http://help.nflxext.com

Два домени використовують слово «Azure» стосовно платформи хмарних обчислень Microsoft Azure і використовуються для надання видимості легітимності. Однак насправді домени не належать Microsoft.

За допомогою інструменту можна отримати автоматизований аналіз загальної інформації або окремого процесу.

Щоб дослідити автоматизовані запити документа, обираемо один із них, а потім натискаємо маленьку кнопку праворуч із написом «ChatGPT», щоб змусити ChatGPT надати аналіз і пояснення.

ChatGPT проаналізував запит HTTP Get на URL-адресу “r3.o.lencr.org”

У звіті про аналіз по суті сказано, що цей процес може бути частиною процесів нешкідливого файлу, але він також може використовуватися для зловмисних цілей.

Але є аспект звіту, який висвітлюється. Зокрема, процес використовував «закодовані URL-адреси». Не обов’язково розуміти значення «закодованих URL-адрес», оскільки звіт пояснює, чому це актуально. У звіті зазначено, що цей процес використовується для надсилання та отримання закодованих даних на віддалений сервер і з нього. Іншими словами, як тільки файл відкривається на чиємусь комп’ютері, він починає спілкуватися з кимось/чимось в Інтернеті.

У звіті пояснюється, що такий процес можна використовувати для приховування зловмисних дій, таких як викрадення даних з комп’ютера або спілкування з віддаленим зловмисником і завантаження шкідливих програм на комп’ютер.

Ця оцінка означає, що дослідникам дуже важливо досліджувати ці URL-адреси, домени та IP-адреси.

Щоб дослідити Ips і домени, пройдемось по одному прикладу. Ми можемо скористатися інструментом https://otx.alienvault.com/

Ми використовуємо базову функцію пошуку та виконуємо пошук за «195.138.255.18», який отримує таку інформацію:

Бачимо два удари. Перша – це сторінка з інформацією про аналіз самої IP-адреси. Другий удар призначений для аналізу шкідливого файлу, який пов’язаний з IP.

Аналіз IP:

Друге звернення показує, що IP-адреса була вказана у звіті про шкідливий файл.

Зверніть увагу, що вгорі ви бачите рядок символів під заголовком “FILEHASH”. Не вдаючись у те, що насправді таке хеші, варто знати, що це унікальний ідентифікатор файлу, тому ви можете шукати його тут і в інших місцях.

Зрозуміло, що кілька років тому шкідливий документ здійснював автоматичні дзвінки на ту саму IP-адресу. Тож це однозначно свідчить про зловмисну ​​діяльність. Але нас цікавить не те, що, а більше те, хто. Переходячи до нашого списку IOC, ми використовуємо той самий інструмент, що й шукаємо домен «Azure-drive.com». Отриманий результат від OTX викладає нашу відповідь чітко.

Повідомляється, що домен використовувався північнокорейськими хакерами, відомими як Lazarus Group, для викрадення криптовалюти.

• https://otx.alienvault.com/indicator/file/709ec9fbbc3c37ccd39758527c332b84

Давайте переглянемо. Ми дослідили криптоадресу та виявили, що вона була пов’язана зі зломом. Копія шкідливого файлу, використаного хакерами, виявила, що зловмисниками були Lazarus Group.

Ми також бачимо, що веб-сайт надає нам різні хеші, пов’язані з документом, вони корисні, якщо ви хочете безпечно шукати інформацію про файл. Ви можете скопіювати та вставити хеші в пошук за ключовими словами.

Використовуючи цей хеш, ми можемо безпечно шукати файл в інших інструментах, як-от Virus Total. При цьому ми бачимо, що ідентичний файл був позначений 29 постачальниками засобів безпеки.

• https://www.virustotal.com/gui/file/1939d9fdcf831dc4cac001ba193669c75a336258bc99a1775471554229e4a69b/detection/

Сторінка результатів Virus Total також показала посилання на задокументовану вразливість. Уразливість позначена як CVE-2017-0199 у системі Common Vulnerabilities and Exposures (CVE).

Цю вразливість можна використати за допомогою спеціально створеного документа Microsoft Office, який дозволяє віддаленим зловмисникам виконувати будь-який код на комп’ютері жертви.

Щоб отримати додаткову інформацію, CVE можна знайти на таких веб-сайтах, як cve.org. Погугливши номер CVE, ми знайдемо статтю про те, що цей CVE неодноразово використовувався Lazarus Group для викрадення криптовалюти.

По суті, розслідування фішингових атак зводиться до розуміння індикаторів і використання правильних інструментів для виявлення зловмисної діяльності. Використовуючи такі платформи, як Any.Run, і занурюючись у IOC, навіть ті, хто не має глибоких знань у сфері кібербезпеки, можуть розкрити ключові деталі. Незалежно від того, чи йдеться про виявлення підозрілих IP-адрес чи аналіз файлів, пов’язаних зі зломами, ці методи дають слідчим можливість відстежувати джерела атак. Чим більше ви тренуєтеся та вдосконалюєте свій підхід, тим швидше ви станете виявляти закономірності та виявляти злочинців у майбутніх розслідуваннях.