Cubrimos la primera parte del análisis de correo electrónico de phishing con PhishTool. Demostramos áreas clave a considerar al analizar un correo electrónico y utilizar los artefactos recopilados para inteligencia sobre amenazas. Esto fue parte de Sala de herramientas de inteligencia de amenazas TryHackMe.
Threat Intelligence es el análisis de datos e información utilizando herramientas y técnicas para generar patrones significativos sobre cómo mitigar los riesgos potenciales asociados con amenazas existentes o emergentes dirigidas a organizaciones, industrias, sectores o gobiernos.
Para mitigar los riesgos, podemos comenzar intentando responder algunas preguntas simples:
- ¿Quién te ataca?
- ¿Cuál es su motivación?
- ¿Cuáles son sus capacidades?
- ¿A qué artefactos e indicadores de compromiso debería prestar atención?
Clasificaciones de inteligencia de amenazas:
Threat Intel está orientado a comprender la relación entre su entorno operativo y su adversario. Teniendo esto en cuenta, podemos dividir la información sobre amenazas en las siguientes clasificaciones:
- Inteligencia estratégica: Información de alto nivel que analiza el panorama de amenazas de la organización y traza las áreas de riesgo en función de tendencias, patrones y amenazas emergentes que pueden afectar las decisiones comerciales.
- Información técnica: Investiga pruebas y artefactos de ataque utilizados por un adversario. Los equipos de respuesta a incidentes pueden utilizar esta información para crear una superficie de ataque básica para analizar y desarrollar mecanismos de defensa.
- Información táctica: Evalúa las tácticas, técnicas y procedimientos (TTP) de los adversarios. Esta información puede fortalecer los controles de seguridad y abordar las vulnerabilidades mediante investigaciones en tiempo real.
- Información operativa: Investiga los motivos específicos y la intención de un adversario de realizar un ataque. Los equipos de seguridad pueden utilizar esta información para comprender los activos críticos disponibles en la organización (personas, procesos y tecnologías) que pueden ser atacados.
¿Cuántos dominios identificó UrlScan.io?
¿Cuál es el principal registrador de dominios que figura en la lista?
¿Cuál es la dirección IP principal identificada?
¿Qué malware está asociado con la huella digital JA3? 51c64c77e60f3980eea90869b68c58a8 en la lista negra de SSL?
Desde la página de estadísticas de URLHaus, ¿qué red de alojamiento de malware tiene el número ASN? AS14061?
¿Qué país es la dirección IP de la botnet? 178.134.47.166 asociado con según FeodoTracker?
¿Qué plataforma de redes sociales intenta hacerse pasar el atacante en el correo electrónico?
¿Cuál es la dirección de correo electrónico del destinatario?
¿Cuál es la dirección IP de origen? Desactive la dirección IP.
¿Cuántos saltos pasó el correo electrónico para llegar al destinatario?
¿Cuál es el nombre del cliente de la dirección IP?
Desde Talos Intelligence, el archivo adjunto también se puede identificar por el Alias de detección que comienza con un H…
¿Qué familia de malware está asociada con el archivo adjunto en Email3.eml?
Tutorial en vídeo