¶ Urlscan.io
Urlscan.io est un service gratuit développé pour aider à scanner et analyser les sites Web. Il est utilisé pour automatiser le processus de navigation et d’exploration des sites Web afin d’enregistrer les activités et les interactions.
Lorsqu'une URL est soumise, les informations enregistrées incluent les domaines et les adresses IP contactés, les ressources demandées aux domaines, un instantané de la page Web, les technologies utilisées et d'autres métadonnées sur le site Web.
Le site propose deux vues, la première montrant les analyses les plus récentes effectuées et la seconde montrant les analyses en direct en cours.
¶ Résultats de l'analyse
Les résultats de l'analyse d'URL fournissent de nombreuses informations, les domaines clés suivants étant essentiels à examiner :
- Résumé : fournit des informations générales sur l'URL, allant de l'adresse IP identifiée, aux détails de l'enregistrement du domaine, à l'historique de la page et à une capture d'écran du site.
- HTTP : Fournit des informations sur les connexions HTTP établies par le scanner au site, avec des détails sur les données récupérées et les types de fichiers reçus.
- Redirections : affiche des informations sur toutes les redirections HTTP et côté client identifiées sur le site.
- Liens : Affiche tous les liens identifiés sortant de la page d'accueil du site.
- Comportement : Fournit des détails sur les variables et les cookies trouvés sur le site. Ceux-ci peuvent être utiles pour identifier les cadres utilisés dans le développement du site.
- Indicateurs : répertorie toutes les adresses IP, domaines et hachages associés au site. Ces indicateurs n'impliquent pas d'activité malveillante liée au site.
¶ Scénario
Vous avez été chargé d'effectuer une analyse sur le domaine de TryHackMe. Les résultats obtenus sont affichés dans l'image ci-dessous. Utilisez les détails de l'image pour répondre aux questions :
¶ Abuse.ch
Abuse.ch est un projet de recherche hébergé par l'Institut pour la cybersécurité et l'ingénierie de la Haute école spécialisée de Berne en Suisse. Il a été développé pour identifier et suivre les logiciels malveillants et les botnets via plusieurs plates-formes opérationnelles développées dans le cadre du projet. Ces plateformes sont :
- Malware Bazaar : une ressource permettant de partager des échantillons de logiciels malveillants.
- Feodo Tracker : une ressource utilisée pour suivre l'infrastructure de commande et de contrôle (C2) du botnet liée à Emotet, Dridex et TrickBot.
- Liste noire SSL : une ressource permettant de collecter et de fournir une liste noire pour les certificats SSL malveillants et les empreintes digitales JA3/JA3s.
- URL Haus : une ressource pour partager des sites de distribution de logiciels malveillants.
- Threat Fox : une ressource pour partager des indicateurs de compromission (IOC).
Examinons ces plateformes individuellement.
¶ MalwareBazar
Comme son nom l'indique, ce projet est une base de données tout-en-un de collecte et d'analyse de logiciels malveillants. Le projet prend en charge les fonctionnalités suivantes :
- Téléchargement d'échantillons de logiciels malveillants : les analystes de sécurité peuvent télécharger leurs échantillons de logiciels malveillants à des fins d'analyse et de création de la base de données de renseignement. Cela peut être fait via le navigateur ou une API.
- Chasse aux logiciels malveillants : la recherche d'échantillons de logiciels malveillants est possible grâce à la configuration d'alertes correspondant à divers éléments tels que les balises, les signatures, les règles YARA, les signatures ClamAV et la détection des fournisseurs.
¶ FeodoTracker
Avec ce projet, Abuse.ch vise à partager des renseignements sur les serveurs botnet Command & Control (C&C) associés à Dridex, Emotes (alias Heodo), TrickBot, QakBot et BazarLoader/BazarBackdoor. Ceci est réalisé en fournissant une base de données des serveurs C&C dans laquelle les analystes de sécurité peuvent rechercher et enquêter sur toutes les adresses IP suspectes qu'ils ont rencontrées. De plus, ils fournissent diverses listes de blocage IP et IOC ainsi que des informations d'atténuation à utiliser pour prévenir les infections par botnet.
¶ Liste noire SSL
Abuse.ch a développé cet outil pour identifier et détecter les connexions SSL malveillantes. À partir de ces connexions, les certificats SSL utilisés par les serveurs du botnet C2 seraient identifiés et mis à jour sur une liste noire fournie pour utilisation. La liste de refus est également utilisée pour identifier les empreintes digitales JA3 qui pourraient aider à détecter et à bloquer les communications du botnet C2 de logiciels malveillants sur la couche TCP.
Vous pouvez parcourir les listes de certificats SSL et d'empreintes digitales JA3 ou les télécharger pour les ajouter à votre liste de refus ou à vos règles de chasse aux menaces.
¶ URLhaus
Comme son nom l'indique, cet outil se concentre sur le partage d'URL malveillantes utilisées pour la distribution de logiciels malveillants. En tant qu'analyste, vous pouvez rechercher dans la base de données les domaines, les URL, les hachages et les types de fichiers suspectés d'être malveillants et valider vos enquêtes.
L'outil fournit également des flux associés au pays, au numéro AS et au domaine de premier niveau qu'un analyste peut générer en fonction de besoins de recherche spécifiques.
¶ MenaceFox
Avec ThreatFox, les analystes de sécurité peuvent rechercher, partager et exporter des indicateurs de compromission associés aux logiciels malveillants. Les IOC peuvent être exportés dans divers formats tels que les événements MISP, l'ensemble de règles Suricata IDS, les fichiers hôte de domaine, la zone de politique de réponse DNS, les fichiers JSON et les fichiers CSV.
¶ PhishTool
¶ Phishing par courrier électronique
Le phishing par courrier électronique est l’un des principaux précurseurs de toute cyberattaque. Des utilisateurs peu méfiants se laissent berner par l’ouverture et l’accès à des fichiers malveillants et à des liens qui leur sont envoyés par courrier électronique, car ils semblent légitimes. En conséquence, les adversaires infectent les systèmes de leurs victimes avec des logiciels malveillants, récupérant leurs informations d'identification et leurs données personnelles et effectuant d'autres actions telles que la fraude financière ou la conduite d'attaques de ransomware.
Pour plus d’informations et de contenu sur le phishing, consultez ces salles :
- E-mails de phishing 1
- E-mails de phishing 2
- E-mails de phishing 3
- E-mails de phishing 4
- E-mails de phishing 5
PhishTool cherche à élever la perception du phishing en tant que forme grave d'attaque et à fournir un moyen réactif de sécurité de la messagerie électronique. Grâce à l'analyse des e-mails, les analystes de sécurité peuvent découvrir les IOC des e-mails, prévenir les violations et fournir des rapports médico-légaux qui pourraient être utilisés dans le cadre du confinement du phishing et des missions de formation.
PhishTool a deux versions accessibles : Community et Enterprise . Nous nous concentrerons principalement sur la version communautaire et les fonctionnalités principales de cette tâche. Créez un compte via ce lien pour utiliser l'outil.
Les fonctionnalités principales incluent :
- Effectuer une analyse des e-mails : PhishTool récupère les métadonnées des e-mails de phishing et fournit aux analystes les explications et les fonctionnalités pertinentes pour suivre les actions, les pièces jointes et les URL de l'e-mail afin de trier la situation.
- Intelligence heuristique : OSINT est intégré à l'outil pour fournir aux analystes les renseignements nécessaires pour garder une longueur d'avance sur les attaques persistantes et comprendre quels TTP ont été utilisés pour échapper aux contrôles de sécurité et permettre à l'adversaire de créer une cible par ingénierie sociale.
- Classification et reporting : des classifications des e-mails de phishing sont effectuées pour permettre aux analystes d'agir rapidement. De plus, des rapports peuvent être générés pour fournir un dossier médico-légal pouvant être partagé.
Des fonctionnalités supplémentaires sont disponibles sur la version Entreprise :
- Gérez les événements de phishing signalés par les utilisateurs.
- Signalez les résultats des e-mails de phishing aux utilisateurs et maintenez-les impliqués dans le processus.
- Intégration de la pile de messagerie avec Microsoft 365 et Google Workspace.
Un écran de téléchargement de fichier nous est présenté à partir de l'onglet Analyse lors de la connexion. Ici, nous soumettons notre e-mail pour analyse dans les formats de fichiers indiqués. Les autres onglets incluent :
- Historique : répertorie toutes les soumissions faites avec leurs résolutions.
- In-tray : une fonctionnalité d'entreprise utilisée pour recevoir et traiter les rapports de phishing publiés par les membres de l'équipe via l'intégration de Google Workspace et de Microsoft 365.
¶ Onglet Analyse
Une fois téléchargé, les détails de notre e-mail nous sont présentés pour un examen plus approfondi. Ici, nous avons les onglets suivants :
- En-têtes : fournit les informations de routage de l'e-mail, telles que les adresses e-mail source et de destination, les adresses IP et DNS d'origine et l'horodatage.
- Lignes reçues : détails sur le processus de traversée des e-mails sur divers serveurs SMTP à des fins de traçage.
- En-têtes X : il s'agit d'en-têtes d'extension ajoutés par la boîte aux lettres du destinataire pour fournir des informations supplémentaires sur l'e-mail.
- Sécurité : détails sur les cadres et politiques de sécurité de la messagerie tels que Sender Policy Framework (SPF), DomainKeys Identified Mail (DKIM) et Domain-based Message Authentication, Reporting and Conformance (DMARC).
- Pièces jointes : répertorie toutes les pièces jointes trouvées dans l'e-mail.
- URL des messages : les URL externes associées trouvées dans l'e-mail seront trouvées ici.
Nous pouvons en outre effectuer des recherches et signaler les indicateurs comme malveillants à partir de ces options. Sur le côté droit de l'écran, les détails du texte brut et de la source de l'e-mail nous sont présentés.
Au-dessus de la section Texte brut , nous avons une coche Résoudre . Ici, nous pouvons effectuer la résolution de notre analyse en classant l'e-mail, en configurant les artefacts signalés et en définissant les codes de classification. Une fois l'e-mail classé, les détails apparaîtront dans l' onglet Résolution lors de l'analyse de l'e-mail.
Vous pouvez désormais ajouter PhishTool à votre liste d'outils d'analyse de courrier électronique.
¶ Cisco Talos Intelligence
Les entreprises informatiques et de cybersécurité collectent d’énormes quantités d’informations qui pourraient être utilisées à des fins d’analyse des menaces et de renseignement. Étant l'une de ces sociétés, Cisco a réuni une grande équipe de praticiens de la sécurité appelée Cisco Talos pour fournir des renseignements exploitables, une visibilité sur les indicateurs et une protection contre les menaces émergentes grâce aux données collectées à partir de leurs produits. La solution est accessible sous le nom de Talos Intelligence .
Cisco Talos regroupe six équipes clés :
- Intelligence sur les menaces et interdiction : la corrélation et le suivi rapides des menaces permettent de transformer de simples IOC en informations riches en contexte.
- Recherche de détection : une analyse des vulnérabilités et des logiciels malveillants est effectuée pour créer des règles et du contenu pour la détection des menaces.
- Ingénierie et développement : fournit le support de maintenance pour les moteurs d'inspection et les maintient à jour pour identifier et trier les menaces émergentes.
- Recherche et découverte de vulnérabilités : travailler avec des fournisseurs de services et de logiciels pour développer des moyens reproductibles d'identification et de reporting des vulnérabilités de sécurité.
- Communautés : entretient l’image de l’équipe et des solutions open source.
- Sensibilisation mondiale : diffuse des renseignements aux clients et à la communauté de la sécurité par le biais de publications.
Plus d'informations sur Cisco Talos peuvent être trouvées dans leur livre blanc.
¶ Tableau de bord Talos
En accédant à la solution open source, on nous présente d'abord un tableau de bord de recherche de réputation avec une carte du monde. Cette carte montre un aperçu du trafic de courrier électronique avec des indicateurs indiquant si les courriers électroniques sont légitimes, spam ou malware dans de nombreux pays. En cliquant sur n'importe quel marqueur, nous voyons plus d'informations associées aux adresses IP et noms d'hôte, au volume du jour et au type.
En haut, nous avons plusieurs onglets qui fournissent différents types de ressources de renseignement. Les principaux onglets avec lesquels un analyste interagirait sont :
- Informations sur la vulnérabilité : rapports de vulnérabilité divulgués et zero-day marqués de numéros CVE et de scores CVSS. Les détails des vulnérabilités signalées sont fournis lorsque vous sélectionnez un rapport spécifique, y compris le délai de publication du rapport. Des avis de vulnérabilité Microsoft sont également fournis, avec les règles de snort applicables qui peuvent être utilisées.
- Centre de réputation : permet d'accéder aux données consultables sur les menaces liées aux adresses IP et aux fichiers à l'aide de leurs hachages SHA256. Les analystes s'appuieraient sur ces options pour mener leurs enquêtes. Des données supplémentaires sur les e-mails et le spam peuvent être trouvées sous l' onglet Données de courrier électronique et de spam .
