Ik (Thibault Van Win - SOC Lead AXS Guard) loop al een tijdje met het idee om een mini-serie te starten over interessante topics die we dagelijks tegenkomen in ons Security Operations Center (SOC). Dit artikel wordt het eerste van een hopelijk uitgebreide reeks, waarin ik praktijkervaring deel vanuit de frontlinie.
Elk artikel zal gebaseerd zijn op interne nota’s, teamverslagen, reverse engineering-sessies en onze dagdagelijkse aanpak rond het oplossen van cyberincidenten.
Tijdens één van onze recente debriefs hadden we het over een veelvoorkomend scenario waarbij aanvallers een phishing mail sturen met een link naar een nep inlogpagina, specifiek ontworpen om de inloggegevens van onoplettende gebruikers te bemachtigen. Op het eerste zicht leek het een typische poging tot spearphishing. Toen we het incident probeerden te spiegelen aan MITRE ATT&CK, bleek er echter iets niet te kloppen.
Vraag:
Als het de bedoeling is van de aanvaller om inloggegevens te stelen, valt dit dan nog steeds onder Phishing (T1566) voor het verkrijgen van initiële toegang (TA0001) of dient het incident anders gecategoriseerd te worden?
Spoiler: Het gaat hier niet over initiële toegang en dit onderscheid is belangrijk.
Phishing voor het verkrijgen van initiële toegang
Voornamelijk beschrijven MITRE ATT&CK-tactieken waarom een aanvaller iets doet, terwijl technieken schetsen hoe een specifieke aanval wordt uitgevoerd. Dit is belangrijk, omdat het een helder inzicht geeft in zowel het doel als de benodigde stappen om dat doel te realiseren. Deze denkwijze kunnen we nu toepassen op onze vraag uit de inleiding. De phishing mail laat zien hoe de aanval wordt ingezet, maar waarom? Wat wil de aanvaller echt bereiken?
Is het doel werkelijk om initiële toegang verkrijgen tot het netwerk van het slachtoffer? Waarschijnlijk niet. De mail bevatte geen kwaadaardig document, en de phishing link leidde ook niet naar een pagina met malware.
Het lijkt er eerder op dat de aanvaller informatie probeert te verzamelen die in een later stadium van een aanval zou kunnen worden gebruikt. De categorie "initiële toegang" beschrijft de intentie van deze dreigingsactor dus niet nauwkeurig.
📌 Tactieken correct classificeren
Pogingen om gebruikers te misleiden zodanig zij onbewust inloggegevens prijsgeven heeft meer weg van het verzamelen van informatie die de aanvaller kan misbruiken bij de planning van toekomstige operaties. Dit is precies hoe MITRE ATT&CK reconnaissance (TA0043) definieert [1]. Wanneer we snel alle mogelijke tactieken doorlopen, stuiten we op T1598 – phishing for Information. Bingo!
MITRE duidt zelfs expliciet het onderscheid dat wij hier proberen te maken: wanneer het niet de bedoeling is om kwaadaardige code uit te voeren op het toestel van het slachtoffer, dan valt het niet onder Phishing (T1566), maar is de correcte classificatie “Phishing for Information”:
“Adversaries may send phishing messages to elicit sensitive information that can be used during targeting. Phishing for information is an attempt to trick targets into divulging information, frequently credentials or other actionable information. Phishing for information is different from Phishing in that the objective is gathering data from the victim rather than executing malicious code [2]."
Waarom is een juiste classificatie belangrijk?
Tijdens onze retro maakte één van onze analisten een terechte opmerking: "Waarom zouden we ons überhaupt moeten bezighouden met het doorlopen van meer dan 400 ATT&CK-mappings, terwijl we evengoed snel actie kunnen ondernemen?" Dit is een terecht punt en ook één van de redenen waarom ATT&CK überhaupt werd ontworpen.
Door ATT&CK correct te gebruiken, zou onze case er als volgt kunnen uitzien:
- Stap 1: Reconnaissance - T1598.003 Spearphishing link. Aanvallers versturen een phishing mail om inloggegevens te verzamelen.
- Stap 2: Credential Access - T1056.003 Web Portal Capture. Een nep inlogpagina verzamelt gebruikersgegevens.
- Stap 3: Initial Access - T1078 Valid Accounts. De aanvaller logt in met de gestolen inloggegevens.
D.m.v. van een eenduidige taxonomie wordt de intentie van de aanvaller hier duidelijk weergegeven, alsook de verschillende stadia van de aanval. Uniforme begrippen leiden tot een betere rapportage en communicatie tussen teams of tussen partijen die cyberdreigingsinformatie (CTI) delen. Als bijvoorbeeld geweten is dat een actor zoals APT28 recon-phishing uitvoert om geldige accounts te bemachtigen [3], kunnen we het waargenomen gedrag nauwkeuriger categoriseren. Dit maakt de classificatie minder dubbelzinnig dan wanneer je het incident simpelweg als 'phishing' zou categoriseren.
Daarnaast zijn MITRE ATT&CK-mappings op lange termijn een uitstekende manier om de maturiteit van ons Security Operations Center te meten. Aan de hand van nauwkeurige mappings kunnen we een concreet antwoord bieden op de volgende vraag:
Zijn we als SOC in staat om een onderscheid te maken tussen het opvangen van e-mails met kwaadaardige bijlagen en pogingen tot het oogsten van inloggegevens?
Conclusie
In een SOC is precisie cruciaal. Het gaat niet enkel om wat een aanvaller deed, maar ook om waarom hij dit deed. Dit is bepalend voor het verder onderzoek en de incidentrespons. Deze kostbare informatie kan tevens worden ingezet om eventuele latere meldingen te verduidelijken.
Niet alle phishingmails zijn dezelfde – en je ATT&CK-mappings moeten dit correct weerspiegelen.
SOC Field Notes Deel 1: Niet alle phishingmails zijn dezelfde