Usar MQL para detener nuevos ataques de phishing por correo electr贸nico

脥ndice
  1. Una forma sencilla de modificar y compartir detecciones
  2. Modelo de datos de mensaje
  3. Sintaxis simple
  4. Funciones
  5. Liza
  6. editor interactivo
  7. Uso de MQL para detectar ataques de phishing con c贸digos QR

El phishing por correo electr贸nico ha evolucionado durante la 煤ltima media d茅cada, lo que ha dado lugar a nuevos ataques que pueden eludir las protecciones de phishing m谩s antiguas. Si bien las estafas conten铆an errores gramaticales o signos visibles de phishing, resultaron contener logotipos impecables y de apariencia limpia que inmediatamente atrajeron a una marca o destinatario confiable.

Para gestionar la naturaleza cambiante de las amenazas de phishing, se desarroll贸 Message Query Language (MQL) para proporcionar visibilidad de los patrones de ataque de correo electr贸nico y permitir a los defensores monitorear el entorno de correo electr贸nico.

Una forma sencilla de modificar y compartir detecciones

MQL es un lenguaje abierto y espec铆fico de dominio que permite a los defensores escribir reglas para los ataques que ven, modificar reglas escritas por sus pares en la comunidad y comprender de manera transparente por qu茅 los mensajes se marcan como sospechosos.

Sublime Security introdujo MQL el a帽o pasado para ayudar a los usuarios a buscar e investigar el correo electr贸nico en busca de amenazas potenciales, incluido el phishing, la privacidad del correo electr贸nico empresarial (BEC), el malware y otros contenidos maliciosos. El guardia puede especificar atributos de correo electr贸nico como remitente, destinatario, asunto, palabras clave de contenido, archivos adjuntos e incluso metadatos de correo electr贸nico.

MQL funciona con varias caracter铆sticas de la plataforma Sublime Security (modelo de datos de mensajes, descripci贸n general de sintaxis, funciones, listas y editor interactivo). Cualquier recurso t茅cnico puede escribir, compartir o utilizar reglas MQL preescritas que sean de c贸digo abierto en GitHub.

Modelo de datos de mensaje

Los mensajes de correo electr贸nico est谩ndar todav铆a est谩n en el arcaico formato EML, lo que dificulta trabajar con ellos a pesar de est谩ndares como RFC5322. La mayor铆a de los correos electr贸nicos deben analizarse como texto sin formato, lo que dificulta detectar la l贸gica.

En lugar de tratar los correos electr贸nicos de texto sin formato tal como son, Sublime ha creado una plataforma que analiza el formato en un esquema complejo, un modelo de datos de mensajes (MDM) espec铆ficamente para el descubrimiento. Esto elimina la necesidad de frases simples y complejas que se limitan al encabezado o al cuerpo de la b煤squeda. MDM separa el archivo adjunto, el cuerpo, el encabezado, el destinatario y varios otros campos en un solo documento que se puede expresar f谩cilmente en JSON.

Por ejemplo, MDM puede controlar si los hiperv铆nculos no coinciden con las URL de destino o con dominios de nivel superior (TLD) con hiperv铆nculos espec铆ficos:

Sintaxis simple

Para que MQL sea m谩s f谩cil de leer y escribir, utiliza una sintaxis simple para permitir configuraciones l贸gicas f谩ciles de detectar. Por ejemplo, estas son las reglas para marcar mensajes entrantes con al menos un archivo PDF adjunto de m谩s de 10 MB:

Desglosando la sintaxis de consulta anterior:

  • type.inbound: esto recupera el campo de MDM, escriba 鈫 entrante. Esto s贸lo es v谩lido para los mensajes entrantes en los buzones de correo.
  • y: booleano AND entre dos t茅rminos. MQL utiliza palabras en ingl茅s sencillo como "y" en lugar de s铆mbolos como &&.
  • 鈥峜ualquiera(adjunto,鈥): comprueba si al menos un archivo adjunto en MDM coincide con alg煤n criterio. MQL tiene varias funciones para verificar matrices, como cualquiera, todas y distintas. Para funciones de matriz, los campos de elementos anidados se referencian con un punto (.) delante.
  • . (punto): Accede a la entrada. L铆der. indicando que el campo est谩 relacionado con un elemento anidado y no con un campo principal en el MDM.
  • .file_type == 鈥減df鈥: Tiene un tipo de archivo PDF.
  • <.size > 10*1024*1024: el tama帽o del archivo es superior a 10 MB. Podemos realizar c谩lculos usando MQL usando operaciones aritm茅ticas.

Funciones

Las funciones admiten comprobaciones m谩s sofisticadas, como b煤squedas de subcadenas, evaluaci贸n de expresiones regulares, comprobaciones de antig眉edad del dominio o comprobaciones de enlaces para intentos de phishing de credenciales.

La parte modificada de MQL de la regla de phishing de llamadas a continuaci贸n busca im谩genes o archivos PDF en un archivo ZIP que haya sido escaneado en busca de texto mediante OCR. Esta regla realiza la comprensi贸n del lenguaje natural (NLU), que busca texto similar al fraude de devoluci贸n de llamada con alta confianza. Aunque esto parezca complicado, en realidad son s贸lo unas pocas l铆neas de MQL:

Liza

Una lista es una colecci贸n de cadenas o elementos a los que se puede acceder mediante cualquier regla. La plataforma Sublime mantiene autom谩ticamente la lista incorporada y muestra instant谩neamente el contexto hist贸rico de su entorno o globalmente. Para todo lo dem谩s, los tutores pueden crear y administrar listas personalizadas a trav茅s de su panel o API. Por ejemplo, podr铆a escribir una regla que verifique si el remitente nunca envi贸 un correo electr贸nico a su organizaci贸n como este: sender.email.email not in $sender_emails

editor interactivo

El editor MQL incluye una amplia gama de funciones para todas las fases de la ingenier铆a de descubrimiento.

  • Autocompletar
  • Un depurador para evaluar funciones.
  • Diagn贸stico para identificar posibles errores l贸gicos.
  • Errores, consejos y advertencias
  • Soporte de firma de funci贸n
  • An谩lisis en tiempo real de archivos .eml
  • Resaltado de sintaxis

El editor puede adjuntar archivos EML a archivos de correo electr贸nico para una revisi贸n r谩pida de las reglas. El moderador resaltar谩 las secciones coincidentes y verificar谩 los criterios coincidentes para demostrar que coinciden. Si las reglas coinciden exactamente, aparecer谩 un mensaje marcado 鉁. Estas ricas funciones permiten a los ingenieros de detecci贸n crear reglas s贸lidas con mayor confianza, velocidad y precisi贸n.

Uso de MQL para detectar ataques de phishing con c贸digos QR

A trav茅s de estos componentes MQL, los defensores pueden adaptar la l贸gica de detecci贸n a las amenazas de phishing 煤nicas de su organizaci贸n que evaden los controles tradicionales. El reciente aumento del phishing con c贸digos QR, en el que un c贸digo QR enviado por correo electr贸nico lleva al destinatario a un sitio web malicioso, est谩 eludiendo las estrategias de detecci贸n tradicionales que funcionan con texto plano de correo electr贸nico. Debido a que los atacantes utilizan ampliamente c贸digos QR confiables para aplicaciones comerciales leg铆timas, como la autenticaci贸n multifactor, el phishing utiliza c贸digos QR confiables para enga帽ar a las personas haci茅ndoles creer que son inofensivos.

Las reglas de detecci贸n de correo electr贸nico basadas en MQL pueden desbaratar muchas t谩cticas de phishing de c贸digos QR, entre ellas:

  • Determine si el c贸digo QR entrante est谩 incrustado en el cuerpo del mensaje o como un archivo adjunto.
  • Descubra el destino de la p谩gina de destino, incluso si est谩 disfrazada de URL corta.
  • Encuentre la URL de destino final en caso de m煤ltiples redirecciones.

El verdadero poder de MQL va m谩s all谩 del reconocimiento inicial de c贸digos QR maliciosos, sino que tambi茅n profundiza en lo que hay detr谩s de la URL, proporcionando informaci贸n sobre los ataques de correlaci贸n. En la regla posterior al descubrimiento any(.files_downloaded, .file_extension in $file_extensions_common_archives or .file_extension in $file_extensions_executables) Comprueba lo que una URL activada por un c贸digo QR podr铆a intentar descargar.

Esta regla proporcionar谩 una comprensi贸n profunda de la t茅cnica. Los tipos de archivos de los que se abusa com煤nmente y los ejecutables de malware espec铆ficos pueden asociarse con tarjetas de llamadas TTP para actores maliciosos espec铆ficos.

El phishing sigue siendo un vector de ataque clave a medida que los delincuentes innovan en nuevas t茅cnicas, como c贸digos QR maliciosos, para eludir las defensas. La plataforma abierta, que utiliza MQL f谩cil de entender, permite a los defensores personalizar las reglas b谩sicas de alimentaci贸n para que coincidan con el dise帽o de correo electr贸nico de su organizaci贸n para una protecci贸n m谩s s贸lida.

Grupo Creado con Sketch.

Art铆culos Relacionados

Deja una respuesta

Tu direcci贸n de correo electr贸nico no ser谩 publicada. Los campos obligatorios est谩n marcados con *

Subir

Usamos cookies para mejorar tu experiencia en nuestra web. Pol铆tica de Cookies