Wir haben den ersten Teil der Phishing-E-Mail-Analyse mit PhishTool behandelt. Wir haben wichtige Bereiche demonstriert, die bei der Analyse einer E-Mail zu berücksichtigen sind, und die gesammelten Artefakte für Bedrohungsinformationen verwendet. Dies war Teil von TryHackMe Bedrohungsaufklärungs-Tools-Raum.
Holen Sie sich Blue Team Notes
Threat Intelligence ist die Analyse von Daten und Informationen mithilfe von Tools und Techniken, um aussagekräftige Muster zu generieren, die dazu dienen, potenzielle Risiken im Zusammenhang mit bestehenden oder neu entstehenden Bedrohungen für Organisationen, Branchen, Sektoren oder Regierungen zu mindern.
Um Risiken zu mindern, können wir zunächst versuchen, einige einfache Fragen zu beantworten:
- Wer greift dich an?
- Was ist ihre Motivation?
- Was sind ihre Fähigkeiten?
- Auf welche Artefakte und Kompromissindikatoren sollten Sie achten?
Klassifizierungen von Bedrohungsinformationen:
Threat Intel zielt darauf ab, die Beziehung zwischen Ihrer Betriebsumgebung und Ihrem Gegner zu verstehen. Vor diesem Hintergrund können wir Threat Intel in die folgenden Kategorien unterteilen:
- Strategische Informationen: Hochrangige Informationen, die die Bedrohungslandschaft des Unternehmens untersuchen und die Risikobereiche anhand von Trends, Mustern und neu auftretenden Bedrohungen abbilden, die Geschäftsentscheidungen beeinflussen können.
- Technische Informationen: Untersucht Beweise und Artefakte von Angriffen, die von einem Gegner verwendet wurden. Incident-Response-Teams können diese Informationen verwenden, um eine grundlegende Angriffsfläche zu erstellen, um Abwehrmechanismen zu analysieren und zu entwickeln.
- Taktische Informationen: Bewertet die Taktiken, Techniken und Verfahren (TTPs) der Gegner. Diese Informationen können Sicherheitskontrollen stärken und Schwachstellen durch Echtzeituntersuchungen beheben.
- Betriebsinformationen: Untersucht die spezifischen Motive und Absichten eines Angreifers, einen Angriff durchzuführen. Sicherheitsteams können diese Informationen nutzen, um die kritischen Ressourcen der Organisation (Mitarbeiter, Prozesse und Technologien) zu verstehen, die ins Visier genommen werden könnten.
Wie viele Domänen hat UrlScan.io identifiziert?
Welcher ist der aufgeführte Hauptdomänenregistrar?
Was ist die identifizierte Haupt-IP-Adresse?
Welche Schadsoftware steckt hinter dem JA3-Fingerabdruck 51c64c77e60f3980eea90869b68c58a8 auf der SSL-Blacklist?
Welches Malware-Hosting-Netzwerk hat die ASN-Nummer auf der Statistikseite von URLHaus? AS14061?
Aus welchem Land stammt die IP-Adresse des Botnetzes? 178.134.47.166 verbunden mit laut FeodoTracker?
Als welche Social-Media-Plattform versucht der Angreifer sich in der E-Mail auszugeben?
Wie lautet die E-Mail-Adresse des Empfängers?
Was ist die ursprüngliche IP-Adresse? Deaktivierung der IP-Adresse.
Wie viele Hops hat die E-Mail durchlaufen, um zum Empfänger zu gelangen?
Wie lautet der Kundenname der IP-Adresse?
Von Talos Intelligence aus kann die angehängte Datei auch anhand des Erkennungsalias identifiziert werden, der mit einem H…
Welche Malware-Familie ist mit dem Anhang von Email3.eml verknüpft?
Video-Komplettlösung