Phishing attacks and mitigation tactics

Abstract

Sosiaalinen hakkerointi, esimerkiksi kalastelu sekä erityisesti kohdennetut kalasteluhyökkäykset ovat edelleen yksi uhkatoimijoiden käytetyimmistä hyökkäystekniikoista. Kohdennetuilla kalasteluhyökkäyksillä hyökkääjä pyrkii saavuttamaan ensimmäisen jalansijan hyökättävän kohteen tietoverkkoon esimerkiksi saastuneen työntekijän työaseman kautta. Tätä pääsyä hyökkääjä käyttää liikkuakseen tietoverkoissa muun muassa saavuttaakseen kampanjansa tavoitteet, joka voi olla valtuuttamattoman pääsyn saaminen arkaluontoiseen tietoon. Offensiivisten työkalujen sekä taktiikoiden, tekniikoiden ja menetelmien kuten haavoittuvuuksien ja niiden väärinkäyttämiseen tarkoitetun ohjelmakoodin julkaiseminen on myös raportoidusti edesauttanut uhkatoimijoita murtautumaan tietoverkkoihin. Nykyään uhkatoimijoille on tyypillisempää väärinkäyttää olemassa olevaa toiminnallisuutta tai avoimesti julkaistuja offensiivisia työkaluja ja haavoittuvuuksia sen sijaan, että uhkatoimijat käyttäisivät rajoitettuja resurssejaan ennestään tuntemattomien haavoittuvuuksien etsintään. Lähdemateriaali on pääasiallisesti kerätty toissijaista lähteistä, kuten akateemisista tutkimuspapereista, ammatillisesta lähdekirjallisuudesta sekä uhkatietoraporteista. Tämän pro gradu -tutkielman tavoitteena oli systemaattisesti perehtyä kerättyyn lähdemateriaalin sekä saavuttaa ymmärrys miten nykyaikaiset uhkatoimijat toimivat toteuttaessaan kohdennettuja tietomurtoja, jossa pääasiallinen hyökkäystapa on kalastelukampanja. Tässä pro gradu -tutkielmassa analysoidaan yleisimpiä tekniikoita liittyen siihen, kuinka uhkatoimijat rakentavat ja toteuttavat kalastelukampanjoita. Tämän lisäksi analysoidaan muutamia tunnettuja tekniikoita, joiden avulla on mahdollista ohittaa olemassa olevia tietoturvakontrolleja. Lopuksi otetaan huomioon se, kuinka organisaatiot voisivat puolustautua tyypillisimpiä hyökkäystekniikoita, esimerkiksi impersonointia vastaan. Tämän pro gradu -tutkielman perusteella on havaittavissa, että uhkatoimijat luottavat pääasiassa Microsoft Office -dokumenttien väärinkäyttöön osana hyökkäyksiään. Organisaatot voivat hyödyntää tämän pro gradu -tutkielman tuloksia rakentaakseen ymmärrystä moderneista hyökkäystekniikoista ja uhkista, joita he kohtaavat.

Social engineering-based attacks, such as phishing and more targeted, spear phishing attacks remains to be one of the most common attack vectors used by threat actors. These attacks are most commonly used to obtain initial access into the target’s internal network, for example through compromised endpoint. The access is then further leveraged to move laterally within the network to obtain access to sensitive information. The public release of offensive security tooling and tactics, techniques and procedures (TTPs), such as disclosure of vulnerabilities with working proof-of-concept exploit code is also actively leveraged by several threat actors in their campaigns. More often advanced persistent threats (APTs) and other sophisticated threat actors are abusing existing functionality or exploiting already known vulnerabilities that have not been patched instead of concentrating time and resources into researching previously unknown vulnerabilities, also known as 0-days. The research material in this master’s thesis is based primarily on secondary sources that has been collected from academic research papers, professional literature and threat intelligence reports. Objective of this master’s thesis was to perform a systematic literature review and analysis of observed tactics, techniques and procedures to obtain an understanding of what are the modern techniques that attackers are using to compromise organisations where the primary attack vector is phishing. This master’s thesis analyses some of the common techniques, such as how attackers and phishers are deploying their phishing campaigns. Furthermore, what are some of the most prominent evasion techniques being used as well as how email authentication could help organisations to mitigate some of the most basic impersonation attacks that attackers have been using successfully. The results of this master’s thesis show that attackers are still relying on abusing old functionalities through Microsoft Office documents and one of the most successful attack vectors to compromise an endpoint remains to be delivered through a Microsoft Office document that has malware inside of a Macro. The results of this master’s thesis can be used by organisations to develop an understanding of some of the current threats and abilities attackers have and develop mitigations to protect their employees and assets.