Интеграция MISP с Maltego для эффективного анализа киберугроз

MISP

Часто организации, для анализа и проведения расследований используют MISP с другими инструментами и источниками разведданных. Мы уже рассказывали про интеграцию Wazuh с MISP. Сегодня покажу, как для более эффективной и комплексной работы интегрировать данные из MISP в Maltego.

Еще по теме: Мониторинг соединений Linux с Wazuh и eBPF

Интеграция MISP с Maltego

MISP — платформа с открытым исходным кодом для обмена информацией о киберугрозах и инцидентах безопасности. Она позволяет организациям собирать, хранить и обмениваться данными о вредоносных программах, индикаторах компрометации и других типах угроз. Позволяет автоматизировать обмен данными и интегрировать с другими системами безопасности.

Maltego — популярный инструмент визуализации данных, который позволяет ускорить и повысить точность расследований. Он объединяет различные источники информации в едином интерфейсе и предоставляет возможности для совместной работы. Maltego используют журналисты, следователи, пентестеры и спецы OSINT.

Интеграция Maltego и MISP открывает широкие возможности:

  • Быстрый поиск по базам данных MISP прямо из интерфейса Maltego.
  • Визуализация связей между данными MISP и другими источниками.
  • Оптимизация рабочих процессов за счет интеграции данных.
  • Совместный анализ угроз и обмен информацией между организациями.

Если ваш MISP доступен через интернет, можно использовать встроенную интеграцию Maltego. Для этого установите компонент «ATT&CK – MISP» и введите данные для входа в настройках.

Интеграция MISP Maltego

Для интеграции вам потребуется:

  • Доступ к API MISP.
  • Библиотека MISP-Maltego (инструкция).

Пример использования MISP с Maltego

Рассмотрим пример расследования с использованием этой связки.

Допустим, наша спам-ловушка обнаружила подозрительный email: hardik.desai.neostructo@mail[.]com. Начнем расследование, добавив этот адрес на новый граф в Maltego. В меню Transform, в группе ATT&CK and MISP Transform, используем трансформацию To MISP Events, чтобы найти связанные события.

Пример использования MISP Maltego

Оказывается, этот email уже зарегистрирован как атрибут события с ID 1241. В окне Property View видно, что оно связано с мошеннической email-кампанией на тему COVID.

Проверка деталей подозрительного письма

К этому событию привязано еще 6 атрибутов и объектов.

Теперь посмотрим, что еще известно об этом событии. Применяем трансформацию To Attributes/Objects.

Проверка других атрибутов события MISP Maltego

Предыдущий шаг вывел список атрибутов и объектов, включая IP-адреса, урлы, домены и ссылку на отчет VirusTotal. Теперь от сущности Event можно сделать несколько шагов для получения дополнительной информации, например, найти связанные события или получить список тегов. Чтобы проверить классификацию фишинга, используем трансформацию To Tags и переключаемся в режим List View.

Анализ и классификация фишинговых угроз MISP Maltego

Из списка видно, что это событие классифицировано как кибер-угроза, а именно целевая фишинговая кампания с использованием подмены email-адреса. Событие связано с некоторыми шаблонами ATT&CK. Давайте исследуем их, используя данные фреймворка MITRE ATT&CK. Чтобы узнать подробности о вредоносном ПО и инструментах, используемых в этой технике атаки, выбираем сущность mitre-attack-pattern Spearphishing via Service – T1194 и применяем трансформацию To Malware/Software/Tools.

Сопоставление шаблонов с MITRE ATT&CK

После проверки деталей можно найти другие события MISP, связанные с этой атакой, или поискать конкретных злоумышленников, известных использованием этого шаблона атаки. Применяем трансформацию To Related Galaxies. В результате мы видим, что такой же шаблон использовали группы FIN6, Dark Caracal, OilRig и Magic Hound.

Анализ шаблонов атак MISP Maltego

Теперь можно найти рекомендуемые методы защиты от такого типа атак, например, использование антивирусного ПО, обучение пользователей и ограничение веб-контента. Давайте рассмотрим еще один пример. Используем трансформацию To Malware/Software/Tools для группы Dark Caracal, чтобы определить вредоносное ПО и инструменты, которые они обычно используют.

MISP Maltego рекомендации

Результат показывает, что хакерская группа Dark Caracal, предпочитает использовать вредоносное ПО FinFisher, Bandook, CrossRAT и Pallas.

Таким образом, с помощью MISP и MITRE ATT&CK в интерфейсе Maltego, начав с одного подозрительного почтового адреса, мы смогли провести глубокий анализ связанных угроз, используя комбинацию данных.

ПОЛЕЗНЫЕ ССЫЛКИ:

QUASAR

Этичный хакер и компьютерный ниндзя. Новые статьи в нашей Телеге!

Добавить комментарий