Часто организации, для анализа и проведения расследований используют MISP с другими инструментами и источниками разведданных. Мы уже рассказывали про интеграцию Wazuh с MISP. Сегодня покажу, как для более эффективной и комплексной работы интегрировать данные из MISP в Maltego.
Еще по теме: Мониторинг соединений Linux с Wazuh и eBPF
Интеграция MISP с Maltego
MISP — платформа с открытым исходным кодом для обмена информацией о киберугрозах и инцидентах безопасности. Она позволяет организациям собирать, хранить и обмениваться данными о вредоносных программах, индикаторах компрометации и других типах угроз. Позволяет автоматизировать обмен данными и интегрировать с другими системами безопасности.
Maltego — популярный инструмент визуализации данных, который позволяет ускорить и повысить точность расследований. Он объединяет различные источники информации в едином интерфейсе и предоставляет возможности для совместной работы. Maltego используют журналисты, следователи, пентестеры и спецы OSINT.
Интеграция Maltego и MISP открывает широкие возможности:
- Быстрый поиск по базам данных MISP прямо из интерфейса Maltego.
- Визуализация связей между данными MISP и другими источниками.
- Оптимизация рабочих процессов за счет интеграции данных.
- Совместный анализ угроз и обмен информацией между организациями.
Если ваш MISP доступен через интернет, можно использовать встроенную интеграцию Maltego. Для этого установите компонент «ATT&CK – MISP» и введите данные для входа в настройках.
Для интеграции вам потребуется:
- Доступ к API MISP.
- Библиотека MISP-Maltego (инструкция).
Пример использования MISP с Maltego
Рассмотрим пример расследования с использованием этой связки.
Допустим, наша спам-ловушка обнаружила подозрительный email: hardik.desai.neostructo@mail[.]com. Начнем расследование, добавив этот адрес на новый граф в Maltego. В меню Transform, в группе ATT&CK and MISP Transform, используем трансформацию To MISP Events, чтобы найти связанные события.
Оказывается, этот email уже зарегистрирован как атрибут события с ID 1241. В окне Property View видно, что оно связано с мошеннической email-кампанией на тему COVID.
К этому событию привязано еще 6 атрибутов и объектов.
Теперь посмотрим, что еще известно об этом событии. Применяем трансформацию To Attributes/Objects.
Предыдущий шаг вывел список атрибутов и объектов, включая IP-адреса, урлы, домены и ссылку на отчет VirusTotal. Теперь от сущности Event можно сделать несколько шагов для получения дополнительной информации, например, найти связанные события или получить список тегов. Чтобы проверить классификацию фишинга, используем трансформацию To Tags и переключаемся в режим List View.
Из списка видно, что это событие классифицировано как кибер-угроза, а именно целевая фишинговая кампания с использованием подмены email-адреса. Событие связано с некоторыми шаблонами ATT&CK. Давайте исследуем их, используя данные фреймворка MITRE ATT&CK. Чтобы узнать подробности о вредоносном ПО и инструментах, используемых в этой технике атаки, выбираем сущность mitre-attack-pattern Spearphishing via Service – T1194 и применяем трансформацию To Malware/Software/Tools.
После проверки деталей можно найти другие события MISP, связанные с этой атакой, или поискать конкретных злоумышленников, известных использованием этого шаблона атаки. Применяем трансформацию To Related Galaxies. В результате мы видим, что такой же шаблон использовали группы FIN6, Dark Caracal, OilRig и Magic Hound.
Теперь можно найти рекомендуемые методы защиты от такого типа атак, например, использование антивирусного ПО, обучение пользователей и ограничение веб-контента. Давайте рассмотрим еще один пример. Используем трансформацию To Malware/Software/Tools для группы Dark Caracal, чтобы определить вредоносное ПО и инструменты, которые они обычно используют.
Результат показывает, что хакерская группа Dark Caracal, предпочитает использовать вредоносное ПО FinFisher, Bandook, CrossRAT и Pallas.
Таким образом, с помощью MISP и MITRE ATT&CK в интерфейсе Maltego, начав с одного подозрительного почтового адреса, мы смогли провести глубокий анализ связанных угроз, используя комбинацию данных.
ПОЛЕЗНЫЕ ССЫЛКИ: