Para comprometer todo el sistema, solo necesita un correo electrónico. Los mensajes bien escritos pueden pasar por alto los filtros, los empleados tontos y proporcionar al atacante el acceso que necesitan. Sin ser detectados, estas amenazas pueden conducir al robo de credenciales, el acceso no autorizado e incluso las infracciones a gran escala. A medida que las técnicas de phishing se vuelven más evasivas, las soluciones automatizadas por sí solas no se pueden capturar de manera confiable.
Echemos un vistazo más de cerca a cómo los equipos de SOC pueden garantizar la detección rápida y precisa de los ataques de phishing más evasivos utilizando el ejemplo de Tycoon2fa, la amenaza de phishing número uno en el entorno corporativo actual.
Paso 1: Cargue el archivo o URL sospechoso en el sandbox
Considere una situación típica. Los correos electrónicos sospechosos son marcados por el sistema de detección, pero no está claro si son realmente maliciosos.
La forma más rápida de verificarlo es realizar un análisis simple dentro de una caja de arena de malware.
Un Sandbox es una máquina virtual aislada que le permite abrir archivos de forma segura, hacer clic en enlaces y observar su comportamiento sin poner en riesgo su sistema. Una forma para que los analistas de SOC investiguen el malware, los intentos de phishing y la actividad sospechosa sin desencadenar nada localmente.
Es fácil comenzar. Cargue el archivo, pegue la URL, seleccione su sistema operativo (Windows, Linux o Android), ajuste la configuración según sea necesario, y en cuestión de segundos, está en una máquina virtual completamente interactiva lista para investigar.
Any. Configuración de análisis de Run en Sandbox
Para mostrar lo fácil que es detectar el phishing, echemos un vistazo a un ejemplo del mundo real.
Echa un vistazo a nuestra muestra de phishing aquí
Los correos electrónicos de phishing analizados dentro de una cotil basada en la nube.
El correo electrónico sospechoso incluye un gran botón verde «reproducir audio». Este es un truco utilizado para hacer clic en la víctima.
Equipado con servicios rápidos y detallados de análisis de phishing para responder y prevenir incidentes en segundos.
Se obtendrán ofertas especiales antes del 31 de mayo
Paso 2: Explote la cadena de ataque completa
Con la ayuda de cajas de arena como cualquiera. Incluso los miembros de SoC junior pueden hacerlo fácilmente. La interfaz es intuitiva, interactiva y creada para facilitar el análisis complejo.
En el ejemplo de phishing, ya hemos visto cómo comienza el ataque. Correo electrónico sospechoso con un gran botón verde «Reproducir audio» incrustado en el hilo. Pero, ¿qué sucede después de hacer clic?
Dentro de la sesión de Sandbox, lo vemos claramente:
Tan pronto como se presiona el botón, una serie de redireccionamientos (otra táctica de evasión) eventualmente lo llevará a la página del Desafío Captcha. Aquí es donde las herramientas automatizadas suelen fallar. No puede hacer clic en un botón, desbloquear capturas e imitar el comportamiento del usuario, por lo que a menudo pierde amenazas reales.
Pero con cualquiera de arena interactiva de Run, no es un problema. Puede resolver manualmente Captcha o habilitar el modo automático para manejar el sandbox. En ambos casos, el análisis continúa sin problemas, llegando a la página final de phishing y permitiéndole observar la cadena de ataque completa.
Captcha Challenge resuelto dentro de una caja de arena interactiva
Una vez que Captcha se resuelva, será redirigido a una página de inicio de sesión de Microsoft falsa. A primera vista, es persuasivo, pero a una inspección más cercana se revela la verdad.
La URL está claramente no relacionada con Microsoft, y está llena de caracteres aleatorios que faltan Favicon (icono de pestaña del navegador). Una pequeña y pequeña bandera roja que se puede transmitir
Any. Se detectan letreros de phishing detectados en el sandbox
Sin una caja de arena interactiva, estos detalles permanecen ocultos. Pero aquí, cada paso que se puede ver en cada movimiento es rastreable, y la infraestructura de phishing se puede detectar fácilmente engañando a alguien en su organización.
Si se deja sin ser detectado, la víctima puede ingresar inconscientemente sus credenciales en una página de inicio de sesión falsa y pasar el acceso sensible directamente al atacante.
Al hacer que el análisis Sandbox sea parte de una rutina de seguridad, los equipos pueden ver enlaces o archivos sospechosos en segundos. En la mayoría de los casos, cualquier. Run ofrece el primer veredicto en menos de 40 segundos.
Paso 3: Analizar y recolectar COI
Una vez que la cadena de phishing está completamente explotada, el siguiente paso es lo más importante para su equipo de seguridad. Recopila métricas de compromiso (COI) que pueden usarse para la detección, respuesta y prevención futura.
Soluciones como cualquiera. Run acelera y centralice este proceso. Algunos de los hallazgos clave de la muestra de phishing son los siguientes:
El árbol de proceso se muestra en la esquina superior derecha. Esto le permite rastrear el comportamiento sospechoso. Se destaca un proceso. Está etiquetado como «phishing» e indica exactamente dónde ocurrió la actividad maliciosa.
Procesos maliciosos identificados por sandboxes
Puede inspeccionar todas las solicitudes HTTP/HTTPS en la pestaña (Conexiones de red) debajo de la ventana VM. Esto revela la infraestructura externa utilizada en el ataque: dominios, IP, etc.
En la sección de amenazas, se sospecha que la alerta de Suricata (cualquiera. Esto verifica qué kits de phishing se utilizan y agrega un contexto útil para la clasificación de amenazas.
Reglas de Slikata desencadenadas por Tycoon2fa
En el panel superior, la etiqueta la identifica instantáneamente como una amenaza relacionada con Tycoon2FA, por lo que los analistas saben a qué se enfrentan de un vistazo.
Artículos grandes detectados por cualquiera.
¿Necesito ver todos los COI en un solo lugar? Simplemente haga clic en el botón COI y verá una lista completa de dominios, hashes, URL y más. No hay necesidad de saltar entre herramientas o recopilar datos manualmente.
Estos COI se pueden usar de la siguiente manera:
Bloquear dominios maliciosos a través de la infraestructura Actualiza filtros de correo electrónico y reglas de detección La base de datos de inteligencia de amenazas admite la respuesta de incidentes y los flujos de trabajo de SOC
COI se reunieron dentro de cualquiera. Run Sandbox
Finalmente, cualquier.
Este informe es ideal para documentar, transferir en equipo o compartir con partes interesadas externas, ahorrándole tiempo valioso durante su respuesta.
Un informe bien estructurado generado por una caja de arena interactiva
Por qué Sandboxing es parte de su flujo de trabajo de seguridad
El sandboxing interactivo ayuda a los equipos a superar el ruido, exponer las amenazas reales rápidamente y hacer que la respuesta a los incidentes sea más eficiente.
Soluciones como cualquiera.
Acelere la alerta de alerta y la respuesta al incidente: no es necesario esperar un veredicto. Vea el comportamiento de la amenaza y vea vivir para decisiones más rápidas. Mayor tasa de detección: rastro detallado de ataques en etapas múltiples desde el origen hasta la ejecución. Entrenamiento mejorado: los analistas trabajan con amenazas en vivo y obtienen experiencia práctica. Aumente la coordinación del equipo: intercambio de datos en tiempo real y monitoreo de procesos entre los miembros del equipo. Mantenimiento de infraestructura reducida: los sandboxes basados en la nube no requieren configuración. Analice en cualquier momento, en cualquier lugar.
Oferta especial: del 19 al 31 de mayo de 2025, cualquiera.
Equipe a su equipo con licencias adicionales de Sandbox y obtenga ofertas de tiempo limitado en cajas de arena, búsqueda de TI y laboratorios de capacitación de seguridad.
Detalles de cualquiera. Oferta especial de cumpleaños →
Resumiré
Los ataques de phishing son más inteligentes, pero no tiene que ser difícil detectarlos. Las cajas de arena interactivas le permiten encontrar amenazas temprano, rastrear la cadena de ataque completa y reunir todas las pruebas que su equipo necesita para responder de manera rápida y con confianza.
Source link
