چگونه رخدادهای فیشینگ هدفمند را بررسی کنیم؟

با وجود سرمایه‌گذاری‌های عظیمی که در حوزه خرید و مدیریت درگاه‌های ایمیل امن صورت می‌گیرد، همچنان 9 درصد از ایمیل‌های ارسالی به کاربران و سازمان‌ها مخرب هستند.

بر اساس آمار شرکت Verizon فرصت مقابله با حمله فیشینگ پیش از کلیک بر روی لینک مخرب توسط کاربر فقط یک دقیقه و 40 ثانیه است.

در این مطلب از فراست مراحل لازم برای تحلیل یک پیام مخرب و مقابله با تهدیدات تأیید شده را مورد بررسی قرار می‌دهیم.

پاک، مخرب یا مشکوک

نقطه شروع برای ارزیابی و مقابله با حمله معمولاً زمانی است که کاربر ایمیل مشکوک دریافتی را برای مرکز عملیات امنیتی یا میز کمک(Help Desk) فناوری اطلاعات ارسال می‌کند ولی چون کارمندان، ابزار مطمئنی برای تشخیص نیستند پس ممکن است اتکا به آنها (و آموزش‌های آگاهی امنیتی‌شان) برای تشخیص ایمیل‌های مشکوکی که از درگاه ایمیل عبور کرده‌اند، منجر به غفلت از تهدیدات و افزایش تشخیص‌های مثبت کاذب شود.

توصیه می‌شود که از یک راهکار تخصصی برای طبقه‌بندی ایمیل‌ها به دسته‌های پاک، مخرب یا مشکوک به صورت لحظه‌ای استفاده کنید. سپس می‌توانید ایمیل‌های پاک را نادیده گرفته و ایمیل‌های مشکوک را به صورت مستقیم به بخش رفع تهدیدات تأیید شده در این مطلب (گام چهارم) منتقل کنید. در نهایت نیز هر بخش از پیام‌های مخرب باید به صورت موازی با سایر بخش‌ها تجزیه و تحلیل شود تا مشخص گردد که آیا شامل نشانه‌های مخرب هستند یا خیر.

یکی از روش‌های پیشگیرانه برای پیشگیری از هک ایمیل کاری و فیشینگ‌های هدفمند این است که تصور نکنیم چون یک ایمیل تحویل داده شده، پس حتماً پاک است. همه ایمیل‌ها باید به صورت لحظه‌ای مورد بررسی قرار بگیرند. فریم ورک‌های تشخیص مثل هیوریستیک‌ها (یا الگوریتم‌های تصادفی فرااکتشافی که جهت تشخیص پاسخ بهینه بکار می‌روند)، یادگیری ماشینی و پردازش زبان طبیعی به انجام چنین کاری کمک قابل توجهی می‌کنند. راهکارهای موجود در بازار نیز بسیار مقرون به صرفه هستند.

مرحله اول: استخراج اشیا

برای تعیین سالم، مخرب یا مشکوک بودن یک ایمیل، می‌توانید آن را به اشیایی تجزیه کنید که ابتدا توسط ماشین‌ها و سپس در صورت نیاز توسط انسان‌ها قابل تحلیل باشند. این اشیا عبارتند از:

• اطلاعات شبکه مثل آدرس آی‌پی هر ماشین دخیل در فرایند انتقال پیام؛
• نتایج احراز هویت به دست آمده از بررسی‌های SPF، DKIM و غیره؛
• امتیاز هرزنامه مشخص شده توسط درگاه ایمیل امنیتی یا سایر راهکارهای انتقال پیام؛
• نام و آدرس ایمیل فرستنده، مقدار فیلد reply-to، آدرس ایمیل کلیه دریافت‌کنندگان پیام، موضوع ایمیل و متن آن؛
• فایل‌های پیوست؛
• لینک‌های تعبیه شده در بدنه پیام و پیوست‌های آن.

مرحله دوم: تحلیل اشیا

ابتدا اشیا را با استفاده از روش‌های ایمن و قابل اعتماد تحلیل نموده و در صورت لزوم از روش‌هایی نه چندان سریع یا گران استفاده کنید.

برای مثال می‌توانید آی‌پی یا آدرس فرستنده را در یک پایگاه داده هوش تهدید جستجو کنید تا مشخص شود آیا این پیام توسط یک فرستنده مخرب شناخته شده ارسال شده است یا خیر. در این صورت امکان خروج از مرحله تحلیل و شروع مقابله وجود دارد.

یک فریم‌ورک تحلیل کامل، دارای بخش‌های زیر است:

• هوش تهدید برای تأیید سریع تهدیدات شناخته شده مفید است اما به تشخیص سناریوهای روز صفر کمکی نمی‌کند. پایگاه اطلاعاتی هوش تهدید معمولاً ترکیبی از منابع متن باز، منابع اشتراگ‌گذاری شده در صنعت، فیدهای تجاری و همچنین داده‌های به دست آمده توسط خود سازمان از اطلاعات مربوط به حملات پیشین است.

به عبارتی دیگر اگر یک آی‌پی، ایمیل فرستنده، لینک یا امضای فایل (هش) مخرب در پایگاه داده هوش تهدید شناسایی شود، در این صورت ممکن است پیام مدنظر مخرب باشد ولی اگر هیچ یک از اشیای بالا پیدا نشوند، نمی‌توانید بگویید که پیام مدنظر پاک است.

• هیوریستیک، یک اصطلاح فنی برای منطق if-then (اگر — در این صورت) بوده و جزو ابزارهای انعطاف‌پذیر و پرسرعت جهت تشخیص سریع ویژگی‌های مخرب محسوب می‌شود. در ادامه شبه کد یک هیوریستیک ساده برای تشخیص تلاش جهت هک ایمیل کاری را مشاهده می‌کنید:

if email authentication checks = failed and sender

display name is employee and reply-to address does

not equal sender address and message contains financial keyword

then classify email as business email compromise

امکان اعمال هیوریستیک‌ها به رشته‌های URL برای شناسایی لینک‌های فیشینگ در حملات روز صفر (که از آسیب‌پذیری‌های ناشناخته سوءاستفاده می‌کنند) وجود دارد. موتورهای اسکن بدافزار معمولاً برای تشخیص سریع خصوصیات شناخته شده اشیای مخرب، از هیوریستیک‌ها استفاده می‌کنند. بنابراین امکان اعمال هیوریستیک‌ها به محتوای وب هم وجود دارد. در ادامه این موضوع را هم مورد بررسی قرار می‌دهیم.

• یادگیری ماشینی می‌تواند فعالیت‌های یک صندوق پیام را در نظر گرفته و از آن برای ایجاد یک خط مبنا از رفتارها و روابط مورد اعتماد استفاده نموده و سپس در صورت بروز هر گونه تخطی از این خط مبنا، یک هشدار صادر کند. چه شخصی برای چه کاربری و در چه زمان از روز ایمیل ارسال می‌کند؟ حجم این ایمیل‌های ارسالی چقدر است؟ ایمیل‌ها چه محتوایی دارند؟ یکی از نکات مهمی که باید مورد توجه قرار بگیرد این است که گاهی اوقات احتمال دارد عملکرد مدل‌های یادگیری ماشینی پیچیده به نظر برسد و پیام‌ها را به عنوان پاک، مخرب یا مشکوک طبقه‌بندی کنند اما دلیل چنین طبقه‌بندی را مشخص نکنند.
• تحلیل سندباکس بدافزار یکی از روش‌های پرهزینه‌ و نسبتاً زمانبر است اما برای طبقه‌بندی فایل‌هایی که توسط سایر موتورهای جستجو به عنوان پیام‌های مخرب شناسایی شده‌اند بسیار مفید می‌باشد. می‌توان فایل‌های پیوست و کل فایل‌های ایمیل را برای تحلیل پیشرفته به سندباکس ارسال کرد. سندباکس فایل را اجرا نموده و همه رفتارها (از جمله فرمان‌های سیستم عامل و فعالیت شبکه) را زیرنظر می‌گیرد (از جمله فرمان‌های سیستم عامل و فعالیت شبکه) تا اشیای مخرب را در محیطی محدود شناسایی و درک کند.

مرحله سوم: واکشی محتوا

در این بخش همه اشیایی که در پیام به آنها رجوع شده‌اند را تحلیل می‌کنیم. برای انجام این کار باید فایل‌ها را دانلود نموده و لینک‌های موجود در پیوست‌ها و متن پیام را دنبال کنیم. مجرمان سایبری معمولاً لینک‌های فیشینگ را در یک Google Doc قرار می‌دهند و سپس آن را از طریق گوگل به اشتراک می‌گذارند. احتمال گریز از تشخیص این تاکتیک در مرحله دوم بسیار زیاد است چون پیام‌های ارسالی از سمت گوگل، به عنوان پیام ارسال شده توسط منبعی مخرب در نظر گرفته نمی‌شوند و خود ایمیل هم حاوی هیچ بدافزار یا محتوای دیگری برای تحلیل نیست. واکشی محتوا از راه دور به صورت بلادرنگ به رفع چالش‌های تشخیص مرتبط با انفجار تأخیری و سایر تکنیک‌های گریز کمک می‌کند.

تحلیلگر  معمولاً باید فایل به اشتراک‌گذاری شده از راه دور را به صورت دستی دانلود یا لینک‌های موجود در متن ایمیل را دنبال کند تا تأثیر صفحه وب مقصد را به شکل بصری مشاهده نماید. امکان ارسال فایل دانلود شده به سندباکس وجود دارد. امکان تحلیل محتوای صفحه وب با استفاده از هیوریستیک‌ها و یادگیری ماشینی وجود دارد ولی تحلیلگری که به چنین صفحه‌ای مراجعه می‌کند باید تشخیص دهد که آیا این صفحه سالم است یا مربوط به یک حمله فیشینگ می‌باشد. راهکارهای ضد فیشینگ تخصصی خاصی وجود دارند که این فرایند را اتوماسیون می‌کنند و بهترین روش محسوب می‌شوند. این راهکارها این مرحله را با مرحله دوم ترکیب می‌کنند.

مرحله چهارم: تجمیع و حذف

در این مرحله، یک شی در پیام به عنوان شی مخرب شناسایی می‌شود بنابراین باید اقدامات لازم جهت تشخیص همه صندوق‌های پیام که تحت تأثیر این حمله قرار دارند تشخیص داده شده و پیش از اینکه کاربران اقدامی ناخواسته انجام دهند، آنها را حذف کنیم. اگر تعداد کاربران‌تان چندان زیاد نیست ممکن است ارسال ایمیلی که حاوی دستورالعمل‌های لازم برای همه کارمندان می‌باشد راحت‌ترین روش جهت پیدا کردن و حذف همه نمونه‌های یک شاخص مخرب محسوب شود.

روش پیچیده‌تر استفاده از ابزار رهگیری پیام در Microsoft Exchange Online برای پیدا کردن همه نمونه‌های مشابه بر اساس آدرس/دامنه، آی‌پی یا شناسه منحصربفرد پیام می‌باشد که در هدر آن درج شده است.

ممکن است پیدا کردن ایمیل‌ها بر اساس یک لینک یا فایل پیوست مخرب با استفاده از یک ابزار پیگیری کار چندان راحتی نباشد. برای انجام این کار به یک راهکار تخصصی نیاز دارید. این راهکارها معمولاً یک گزارش کلی از همه ایمیل‌های دریافت شده در سازمان ثبت نموده و به شما امکان می‌دهند مقادیر دلخواه را در آنها جستجو کنید.

پس از تشخیص همه نمونه‌های تهدید، مدیران ایمیل باید آن را از صندوق‌هایی که تحت تأثیر قرار دارند پاک کنند.

مرحله پنجم: به روزرسانی و مسدود کردن

فیلترهای محتوای وب، فایروال‌ها، کارگزاران نقاط پایانی، درگاه‌های ایمیل و سایر کنترل‌های امنیتی را برای مسدود کردن اشیای مخرب، به روزرسانی کنید. برای مثال سیاست فیلترهای محتوای وب را به روزرسانی نمایید تا دسترسی به لینک‌های فیشینگ تأیید شده را مسدود کند. آدرس آی‌پی یا ایمیل فرستنده پیام مخرب را به فهرست مسدودی‌ها در درگاه ایمیل امن‌تان اضافه کنید. سیاست‌ها یا فایل‌های امضا را به روزرسانی کنید تا کارگزاران نقاط پایانی اجازه نوشته شدن یا اجرای فایل‌های مخرب در دستگاه‌های کاربران را ندهند.

مرحله ششم: بازیابی

فهرست رویدادها را در فیلترهای محتوای وب، ابزار بازنویسی URL و کارگزاران امنیت نقاط پایانی بازبینی کنید تا مشخص شود آیا کاربری بر روی لینک‌های مخرب کلیک یا فایل آلوده‌ای را دانلود کرده است یا خیر. کلمه عبور کاربرانی را که بر روی لینک‌های فیشینگ کلیک کرده‌اند، تغییر داده و سابقه ورود آنها به سیستم را بررسی نمایید تا رفتارهای مشکوک احتمالی را شناسایی کنید. دستگاه‌های آلوده باید یا با اجرای فرایندی که از پیش برای بدافزار مورد نظر تجویز شده یا ایجاد تصویری مجدد از میزبان‌ها و بازیابی داده‌های کاربران از روی نسخه پشتیبان، بازیابی گردند.

نکته‌ای درباره اتوماسیون

زمانی که سازمان شما، واکنشی مؤثر به حمله فیشینگی را ثبت کرد باید همه مراحل کار را اتوماسیون نمایید تا زمان مصرفی در بین دریافت یک تهدید و حذف آن از همه صندوق‌ها را به حداقل برسانید.

سازمان‌ها می‌توانند با استفاده از یک پلتفرم هماهنگ‌سازی، تشخیص و واکنش برای امنیت ایمیل، واکنش به حوادث فیشینگ را اتوماسیون کنند. این راهکار تشخیص و واکنش، به صورت اختصاصی برای مقابله با هک ایمیل کاری و فیشینگ طراحی شده است. همچنین می‌توانید از یک SOAR (راهکار هماهنگ سازی، اتوماسیون و واکنش امنیتی) سازمانی هم برای اتوماسیون واکنش به حوادث ایمیلی استفاده کنید اما انجام چنین کاری نیاز به دسترسی به ابزارهای امنیتی دیگری مثل فیدهای هوش تهدید و تحلیل بدافزار به روش سندباکس دارد.

نتیجه‌گیری

به طور میانگین بررسی یک ایمیل به 8 دقیقه و حذف یک ایمیل مخرب به ازای هر کاربر  به 15 دقیقه زمان نیاز دارد. برای سازمانی که دارای بیش از 500 صندوق ایمیل است زمان تحقیق و مقابله 1183 ساعت (معادل با 48911 دلار) است.

با استفاده از ابزارهای اتوماسیون می‌توانید بار کاری تیم مرکز عملیات امنیتی برای مقابله با تهدیدات فیشینگ را به صورت چشمگیری کاهش دهید.

برای مطالعه سایر مقالات در حوزه امنیت سایبری اینجا کلیک کنید.

منبع: infosecurity-magazine