Cubrimos la primera parte del análisis de correo electrónico de phishing con PhishTool. Demostramos áreas clave a considerar al analizar un correo electrónico y utilizar los artefactos recopilados para inteligencia sobre amenazas. Esto fue parte de Sala de herramientas de inteligencia de amenazas TryHackMe.

Obtenga notas del equipo azul

Threat Intelligence es el análisis de datos e información utilizando herramientas y técnicas para generar patrones significativos sobre cómo mitigar los riesgos potenciales asociados con amenazas existentes o emergentes dirigidas a organizaciones, industrias, sectores o gobiernos.

Para mitigar los riesgos, podemos comenzar intentando responder algunas preguntas simples:

  • ¿Quién te ataca?
  • ¿Cuál es su motivación?
  • ¿Cuáles son sus capacidades?
  • ¿A qué artefactos e indicadores de compromiso debería prestar atención?

Clasificaciones de inteligencia de amenazas:

Threat Intel está orientado a comprender la relación entre su entorno operativo y su adversario. Teniendo esto en cuenta, podemos dividir la información sobre amenazas en las siguientes clasificaciones:

  • Inteligencia estratégica: Información de alto nivel que analiza el panorama de amenazas de la organización y traza las áreas de riesgo en función de tendencias, patrones y amenazas emergentes que pueden afectar las decisiones comerciales.
  • Información técnica: Investiga pruebas y artefactos de ataque utilizados por un adversario. Los equipos de respuesta a incidentes pueden utilizar esta información para crear una superficie de ataque básica para analizar y desarrollar mecanismos de defensa.
  • Información táctica: Evalúa las tácticas, técnicas y procedimientos (TTP) de los adversarios. Esta información puede fortalecer los controles de seguridad y abordar las vulnerabilidades mediante investigaciones en tiempo real.
  • Información operativa: Investiga los motivos específicos y la intención de un adversario de realizar un ataque. Los equipos de seguridad pueden utilizar esta información para comprender los activos críticos disponibles en la organización (personas, procesos y tecnologías) que pueden ser atacados.
Respuestas de la habitación
¿Qué es el rango general de Cisco de TryHackMe?

¿Cuántos dominios identificó UrlScan.io?

¿Cuál es el principal registrador de dominios que figura en la lista?

¿Cuál es la dirección IP principal identificada?

El COI 212.192.246.30:5555 ¿Bajo qué nombre de alias de malware se identifica en ThreatFox?

¿Qué malware está asociado con la huella digital JA3? 51c64c77e60f3980eea90869b68c58a8 en la lista negra de SSL?

Desde la página de estadísticas de URLHaus, ¿qué red de alojamiento de malware tiene el número ASN? AS14061?

¿Qué país es la dirección IP de la botnet? 178.134.47.166 asociado con según FeodoTracker?

¿Qué plataforma de redes sociales intenta hacerse pasar el atacante en el correo electrónico?

¿Cuál es la dirección de correo electrónico del remitente?

¿Cuál es la dirección de correo electrónico del destinatario?

¿Cuál es la dirección IP de origen? Desactive la dirección IP.

¿Cuántos saltos pasó el correo electrónico para llegar al destinatario?

¿Cuál es el dominio listado de la dirección IP de la tarea anterior?

¿Cuál es el nombre del cliente de la dirección IP?

De acuerdo a Correo electrónico2.eml, ¿cuál es la dirección de correo electrónico del destinatario?

Desde Talos Intelligence, el archivo adjunto también se puede identificar por el Alias de detección que comienza con un H…

¿Cuál es el nombre del archivo adjunto en Email3.eml?

¿Qué familia de malware está asociada con el archivo adjunto en Email3.eml?

Tutorial en vídeo

, , ,
Mostrar Comentarios

Motasem

Acerca del Autor

Creo notas de ciberseguridad, notas de marketing digital y cursos online. También brindo consultoría de marketing digital que incluye, entre otros, SEO, Google y meta anuncios y administración de CRM.

Ver Artículos