Skip to main content

Creación de evento phishing en MISP

Añadir un evento de phishing en M.I.S.P.

Para este ejemplo se tomara una campaña de phishing que distribuye malware a través de adjuntos en los correos electrónicos.nicos hacia una entidad estatal "X".

Los pasos para la publicación del evento pueden variar ligeramente de acuerdo al contenido e información suministrada, en este ejemplo se detallaran la mayoría de los indicadores de compromiso que se encuentran al recibir una campaña de este tipo, por lo que en casos específicos pueden no encontrarse todos estos datos.

  • Ingresar a la sección de eventos e ingresar a Event Actions y Add event.

image.pngCreación del evento.

  • Event info. contiene el resumen de la descripción del evento.
  • Threat level. Define el nivel de amenaza del evento como Medio.
  • Analysis. Define el evento en Ongoing ó en curso

Asignación de Tags

  • TLP se clasifica como "green" debido a que el público objetivo de la información es grande y se necesita compartir la información con toda la cantidad de personas posibles para realizar la prevención.
  • Se indica que es una detección de analista de tipo "mail" ó correo.
  • Se clasifica de acuerdo a la taxonomía de CIRCL como "malware" y campaña de "phishing".

image.png

Para la asignación de atributos en este caso se agruparán por objetos por que tenemos tanto el cuerpo del correo con el adjunto como el archivo.

Objetos.

Para crear los objetos nos dirigimos al menú de la derecha y seleccionamos la opción Add Object.

image.png

El primer objeto en ser añadido es el correo electrónico.

  • Los datos relevantes de esta etapa son los que contiene el correo electrónico recibido con el phishing.

image.png

  • Con los datos del correo recibido podemos agregar estos atributos a nuestro objeto:

image.png

image.png

El segundo objeto importante a ser analizado es el archivo adjunto que contiene el malware que se debe analizar en opciones de seguridad como virus total, any run, hybrid sandbox, etc.

  • Los datos que se pueden extraer del segundo objeto son:

image.png

  • Una vez agregados los objetos dentro del listado de atributos se verán de la siguiente manera.

image.png

Event Reports

  • Para agregar el contexto de las acciones que realiza el malware complementando la información del evento creamos un Event Report.

image.png

image.png

  • Es posible generar un reporte desde las opciones de la plataforma por lo que hacemos una prueba en Generate Report From Event.

image.png

  • Al realizar click en cualquiera de los objetos se tendrá como resultado los atributos que lo componen.

image.png

Publicar evento.

  • Por último para cambiar el estado del evento a publicado se debe realizar la siguiente acción:

image.png

Con publish (no email) se realiza la publicación dentro de la plataforma sin enviar correo electrónico a los usuarios de la misma, si se requiere el envío de correos se debe seleccionar la opción Publish Event, después de seleccionar cualquiera de las 2 opciones el estado del evento cambia a published "yes".

image.png

Back to top