Abbiamo trattato la prima parte dell'analisi delle e-mail di phishing con PhishTool. Abbiamo dimostrato le aree chiave da considerare durante l'analisi di un'e-mail e l'utilizzo degli artefatti raccolti per l'intelligence sulle minacce. Questo faceva parte Sala degli strumenti di intelligence sulle minacce TryHackMe.
La Threat Intelligence è l’analisi di dati e informazioni utilizzando strumenti e tecniche per generare modelli significativi su come mitigare i potenziali rischi associati alle minacce esistenti o emergenti rivolte a organizzazioni, industrie, settori o governi.
Per mitigare i rischi, possiamo iniziare cercando di rispondere ad alcune semplici domande:
- Chi ti sta attaccando?
- Qual è la loro motivazione?
- Quali sono le loro capacità?
- A quali artefatti e indicatori di compromesso dovresti prestare attenzione?
Classificazioni dell'intelligence sulle minacce:
Threat Intel è orientata a comprendere la relazione tra l'ambiente operativo e l'avversario. Tenendo questo in mente, possiamo suddividere le informazioni sulle minacce nelle seguenti classificazioni:
- Informazioni strategiche: Informazioni di alto livello che esaminano il panorama delle minacce dell'organizzazione e mappano le aree di rischio in base a tendenze, modelli e minacce emergenti che potrebbero influire sulle decisioni aziendali.
- Informazioni tecniche: Esamina le prove e gli artefatti dell'attacco utilizzati da un avversario. I team di risposta agli incidenti possono utilizzare queste informazioni per creare una superficie di attacco di base per analizzare e sviluppare meccanismi di difesa.
- Informazioni tattiche: Valuta le tattiche, le tecniche e le procedure (TTP) degli avversari. Queste informazioni possono rafforzare i controlli di sicurezza e affrontare le vulnerabilità attraverso indagini in tempo reale.
- Informazioni operative: Esamina le motivazioni specifiche e l'intenzione di un avversario di eseguire un attacco. I team di sicurezza possono utilizzare queste informazioni per comprendere le risorse critiche disponibili nell'organizzazione (persone, processi e tecnologie) che potrebbero essere prese di mira.
Quanti domini ha identificato UrlScan.io?
Qual è il principale registrar di domini elencato?
Qual è l'indirizzo IP principale identificato?
Quale malware è associato all'impronta digitale JA3 51c64c77e60f3980eea90869b68c58a8 sulla lista nera SSL?
Dalla pagina delle statistiche su URLHaus, quale rete di hosting di malware ha il numero ASN AS14061?
Quale paese è l'indirizzo IP della botnet 178.134.47.166 associato secondo FeodoTracker?
Quale piattaforma di social media sta cercando di fingere l'aggressore nell'e-mail?
Qual è l'indirizzo email del destinatario?
Qual è l'indirizzo IP di origine? Defangare l'indirizzo IP.
Quanti salti ha attraversato l'e-mail per arrivare al destinatario?
Qual è il nome del cliente dell'indirizzo IP?
Da Talos Intelligence il file allegato può essere identificato anche dall'Alias di rilevamento che inizia con an H…
Quale famiglia di malware è associata all'allegato su Email3.eml?
Videoprocedura dettagliata