Usar MQL para detener nuevos ataques de phishing por correo electrónico

Table
  1. Una forma sencilla de modificar y compartir detecciones
  2. Modelo de datos de mensaje
  3. Sintaxis simple
  4. Funciones
  5. Liza
  6. editor interactivo
  7. Uso de MQL para detectar ataques de phishing con códigos QR

El phishing por correo electrónico ha evolucionado durante la última media década, lo que ha dado lugar a nuevos ataques que pueden eludir las protecciones de phishing más antiguas. Si bien las estafas contenían errores gramaticales o signos visibles de phishing, resultaron contener logotipos impecables y de apariencia limpia que inmediatamente atrajeron a una marca o destinatario confiable.

Para gestionar la naturaleza cambiante de las amenazas de phishing, se desarrolló Message Query Language (MQL) para proporcionar visibilidad de los patrones de ataque de correo electrónico y permitir a los defensores monitorear el entorno de correo electrónico.

Una forma sencilla de modificar y compartir detecciones

MQL es un lenguaje abierto y específico de dominio que permite a los defensores escribir reglas para los ataques que ven, modificar reglas escritas por sus pares en la comunidad y comprender de manera transparente por qué los mensajes se marcan como sospechosos.

Sublime Security introdujo MQL el año pasado para ayudar a los usuarios a buscar e investigar el correo electrónico en busca de amenazas potenciales, incluido el phishing, la privacidad del correo electrónico empresarial (BEC), el malware y otros contenidos maliciosos. El guardia puede especificar atributos de correo electrónico como remitente, destinatario, asunto, palabras clave de contenido, archivos adjuntos e incluso metadatos de correo electrónico.

MQL funciona con varias características de la plataforma Sublime Security (modelo de datos de mensajes, descripción general de sintaxis, funciones, listas y editor interactivo). Cualquier recurso técnico puede escribir, compartir o utilizar reglas MQL preescritas que sean de código abierto en GitHub.

Modelo de datos de mensaje

Los mensajes de correo electrónico estándar todavía están en el arcaico formato EML, lo que dificulta trabajar con ellos a pesar de estándares como RFC5322. La mayoría de los correos electrónicos deben analizarse como texto sin formato, lo que dificulta detectar la lógica.

En lugar de tratar los correos electrónicos de texto sin formato tal como son, Sublime ha creado una plataforma que analiza el formato en un esquema complejo, un modelo de datos de mensajes (MDM) específicamente para el descubrimiento. Esto elimina la necesidad de frases simples y complejas que se limitan al encabezado o al cuerpo de la búsqueda. MDM separa el archivo adjunto, el cuerpo, el encabezado, el destinatario y varios otros campos en un solo documento que se puede expresar fácilmente en JSON.

Por ejemplo, MDM puede controlar si los hipervínculos no coinciden con las URL de destino o con dominios de nivel superior (TLD) con hipervínculos específicos:

Sintaxis simple

Para que MQL sea más fácil de leer y escribir, utiliza una sintaxis simple para permitir configuraciones lógicas fáciles de detectar. Por ejemplo, estas son las reglas para marcar mensajes entrantes con al menos un archivo PDF adjunto de más de 10 MB:

Desglosando la sintaxis de consulta anterior:

  • type.inbound: esto recupera el campo de MDM, escriba → entrante. Esto sólo es válido para los mensajes entrantes en los buzones de correo.
  • y: booleano AND entre dos términos. MQL utiliza palabras en inglés sencillo como "y" en lugar de símbolos como &&.
  • ‍cualquiera(adjunto,…): comprueba si al menos un archivo adjunto en MDM coincide con algún criterio. MQL tiene varias funciones para verificar matrices, como cualquiera, todas y distintas. Para funciones de matriz, los campos de elementos anidados se referencian con un punto (.) delante.
  • . (punto): Accede a la entrada. Líder. indicando que el campo está relacionado con un elemento anidado y no con un campo principal en el MDM.
  • .file_type == “pdf”: Tiene un tipo de archivo PDF.
  • <.size > 10*1024*1024: el tamaño del archivo es superior a 10 MB. Podemos realizar cálculos usando MQL usando operaciones aritméticas.

Funciones

Las funciones admiten comprobaciones más sofisticadas, como búsquedas de subcadenas, evaluación de expresiones regulares, comprobaciones de antigüedad del dominio o comprobaciones de enlaces para intentos de phishing de credenciales.

La parte modificada de MQL de la regla de phishing de llamadas a continuación busca imágenes o archivos PDF en un archivo ZIP que haya sido escaneado en busca de texto mediante OCR. Esta regla realiza la comprensión del lenguaje natural (NLU), que busca texto similar al fraude de devolución de llamada con alta confianza. Aunque esto parezca complicado, en realidad son sólo unas pocas líneas de MQL:

Liza

Una lista es una colección de cadenas o elementos a los que se puede acceder mediante cualquier regla. La plataforma Sublime mantiene automáticamente la lista incorporada y muestra instantáneamente el contexto histórico de su entorno o globalmente. Para todo lo demás, los tutores pueden crear y administrar listas personalizadas a través de su panel o API. Por ejemplo, podría escribir una regla que verifique si el remitente nunca envió un correo electrónico a su organización como este: sender.email.email not in $sender_emails

editor interactivo

El editor MQL incluye una amplia gama de funciones para todas las fases de la ingeniería de descubrimiento.

  • Autocompletar
  • Un depurador para evaluar funciones.
  • Diagnóstico para identificar posibles errores lógicos.
  • Errores, consejos y advertencias
  • Soporte de firma de función
  • Análisis en tiempo real de archivos .eml
  • Resaltado de sintaxis

El editor puede adjuntar archivos EML a archivos de correo electrónico para una revisión rápida de las reglas. El moderador resaltará las secciones coincidentes y verificará los criterios coincidentes para demostrar que coinciden. Si las reglas coinciden exactamente, aparecerá un mensaje marcado ✅. Estas ricas funciones permiten a los ingenieros de detección crear reglas sólidas con mayor confianza, velocidad y precisión.

Uso de MQL para detectar ataques de phishing con códigos QR

A través de estos componentes MQL, los defensores pueden adaptar la lógica de detección a las amenazas de phishing únicas de su organización que evaden los controles tradicionales. El reciente aumento del phishing con códigos QR, en el que un código QR enviado por correo electrónico lleva al destinatario a un sitio web malicioso, está eludiendo las estrategias de detección tradicionales que funcionan con texto plano de correo electrónico. Debido a que los atacantes utilizan ampliamente códigos QR confiables para aplicaciones comerciales legítimas, como la autenticación multifactor, el phishing utiliza códigos QR confiables para engañar a las personas haciéndoles creer que son inofensivos.

Las reglas de detección de correo electrónico basadas en MQL pueden desbaratar muchas tácticas de phishing de códigos QR, entre ellas:

  • Determine si el código QR entrante está incrustado en el cuerpo del mensaje o como un archivo adjunto.
  • Descubra el destino de la página de destino, incluso si está disfrazada de URL corta.
  • Encuentre la URL de destino final en caso de múltiples redirecciones.

El verdadero poder de MQL va más allá del reconocimiento inicial de códigos QR maliciosos, sino que también profundiza en lo que hay detrás de la URL, proporcionando información sobre los ataques de correlación. En la regla posterior al descubrimiento any(.files_downloaded, .file_extension in $file_extensions_common_archives or .file_extension in $file_extensions_executables) Comprueba lo que una URL activada por un código QR podría intentar descargar.

Esta regla proporcionará una comprensión profunda de la técnica. Los tipos de archivos de los que se abusa comúnmente y los ejecutables de malware específicos pueden asociarse con tarjetas de llamadas TTP para actores maliciosos específicos.

El phishing sigue siendo un vector de ataque clave a medida que los delincuentes innovan en nuevas técnicas, como códigos QR maliciosos, para eludir las defensas. La plataforma abierta, que utiliza MQL fácil de entender, permite a los defensores personalizar las reglas básicas de alimentación para que coincidan con el diseño de correo electrónico de su organización para una protección más sólida.

Grupo Creado con Sketch.

Artículos Relacionados

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Go up

Usamos cookies para mejorar tu experiencia en nuestra web. Política de Cookies