本文将从攻击、检测处置和防范三个维度，分别介绍钓鱼攻击方式、钓鱼邮件安全事件运营及防范措施。 

1、钓鱼攻击矩阵

1.1 钓鱼攻击概述  

利用社会工程学进行攻击，是实战攻击中出现率非常高的手法之一。

使用钓鱼的方式突破边界，也是实战攻击中出现频率非常高的手法。

将社工和钓鱼结合起来用，是实战中最为常见、高效、经典的攻击姿势。从目标来看，社工钓鱼主要可以分为：

• 信息获取类：目的在于收集目标相关的账号密码、VPN地址等敏感信息，如：
• 1）通过联系客服，沟通目标及相关系统的试用，获取试用账号密码，登录系统后进行渗透测试；
• 2）通过信息收集，获取目标相关的即时通讯方式，混入QQ群、微信群获取试用系统地址相关信息、公司VPN等。
• 样本投递类：制作能绕AV的样本，通过沟通、邮件等方式投递给目标相关的员工，如：
• 1）针对hr通过微信发送绑有后门的简历；
• 2）联系销售发送绑有后门的客户需求资料；
• 3）通过伪造目标企业内部的邮箱发送钓鱼邮件。

1.2 钓鱼攻击要点  

在开展钓鱼攻击前，需要针对目标公司、人员职务、企业邮箱及使用的终端杀软等进行尽可能多的信息收集，知己知彼方能提升中招率。其中有几个关键要素，需要精心准备：

• 钓鱼攻击方式：至少可以是邮件钓鱼、网页钓鱼、WiFi钓鱼，也可以结合三者同时进行。笔者经历过比较厉害的一次是攻击队对某个开发人员进行钓鱼，先发带有恶意附件的钓鱼邮件让其通过CS上线，并在终端上翻看IM进行手机号等敏感信息收集，随后由于意外掉线。攻击队模拟公司安全人员，拨打其电话并告知已经被黑客控制，重新构造一封清除木马的木马工具给其使用，导致再次被远程控制。
• 钓鱼目标群体：常见的包括HR、客户、销售、开发，广撒网的话就是针对全体员工。但后者对于有防护措施的公司而言，很难攻击成功，因为有全员邮件需要流程审批、邮件网关在技术上实现自动拦截等原因。
• 钓鱼攻击原则：利用时事，吸引关注点；投其所好，抓住好奇感；史上最难，利用信任感。一切都是基于人性来攻击，成功率最高。
• 优质样本及工具：样本落地不被杀软查杀，这是第一步，也是最基础的。做得比较好的公司还会有异常进程、异常行为等检测规则。攻击队可以打时间战，比如在非工作时间段动手、提升拿到据点后收集敏感信息自动化等方式。

1.3 钓鱼攻击矩阵   

以攻击方式为列，攻击目标为行，再填上话术和技术实现方式，由此可以编织出针对性极强的攻击矩阵，大致如下所示：

 

2、安全运营SOP

邮件钓鱼是钓鱼攻击最为常见的方式，但其应用又会掺杂社工、网页钓鱼等招数，已跃然成为攻击成功率最高的方式之一。其表现形式多种多样，如携带恶意附件、内容中含有恶意链接、话术型邮件等，对于防护和检测的难度都比较大。当收到邮件告警时，不同类型的方式处置稍微有点差异，不过大致可分为以下步骤：

钓鱼邮件确认->恶意样本检测->恶意地址封禁->确定影响范围->发起内部通告→人工清理后门。

2.1 钓鱼邮件确认  

根据告警信息人工判断是否为钓鱼邮件及其类型，在处理时有可能是垃圾邮件，也有可能是正常的业务来往的邮件，对于后者判断可能比较难以判断真实性，故需要与收件人确认。常见钓鱼邮件类型有：

• 附件钓鱼邮件：邮件携带附件，附件一般以可执行的恶意文件、利用word宏病毒以及其他已知漏洞为主，通过描述引导用户点击运行；
• 链接钓鱼邮件：邮件内容中包含链接，诱导用户访问链接，可能会下载文件（如上），也可能是克隆的钓鱼页面，套取账号密码等敏感信息；
• 话术钓鱼邮件：通过邮件内容引导用户到第三方平台或IM聊天群上，统一由专门人员通过聊天等方式进行钓鱼，直接传恶意文件或套取敏感信息均可能发生；
• 其他钓鱼邮件：指以上三类之外的或以上三类的综合使用，具体的处置方式随着攻击方式而变化，不过万变不离其宗。

        

2.2 恶意样本检测  

针对样本投递类的攻击，钓鱼邮件可能是直接投递恶意样本，也可能间接投递（如在邮件内容中加入样本下载链接，通过话术加入IM群后引导在本机执行样本等）。按照钓鱼邮件类别分别做以下处置：

• 所有钓鱼邮件：获取发件邮箱、发件人IP、邮件内容中的IP或域名等，上传威胁情报平台判断是否已被标记为恶意，得到攻击地址；

• 附件钓鱼邮件：提取邮件附件，上传沙箱进行检测，分析出C2地址；
• 链接钓鱼邮件：访问邮件内容中包含的链接，下载获取样本上传沙箱进行检测，分析出C2地址。若是信息收集类攻击，则仅需按照第一种操作即可。         

2.3 恶意地址封禁  

在邮件安全网关上拉黑发件邮箱；在公网防火墙上对已经分析出的恶意地址进行全面封禁（全面指防火墙是否同一进行策略管理），需要注意不能随意对发件人IP、邮件内容中的IP进行封禁，除非已经被威胁情报标记或判断其为恶意地址，否则可能造成误伤；在HIDS和EDR上，将恶意样本的MD5加入黑名单。      

2.4 确定影响范围  

确定内部受影响范围的方式大致可分为3种，一是直接在邮件安全网关上根据发件邮箱确定收件人范围；二是在公网FW、NTA设备上查询钓鱼邮件内容中含有的IP或域名、C2地址，根据访问情况来确定范围；三是在HIDS和EDR上查询是否存在恶意文件（md5），根据样本落地情况来确定范围。

2.5 推送内部通告  

若钓鱼邮件是大范围投递，则需发送全员邮件或公众号进行防钓鱼提醒、用户已进行操作报备（如已点击恶意样本）；若仅投递少数人，则单点联系收件人并询问个人接收到后的操作情况。      

2.6 人工清理后门  

通知收到钓鱼邮件的人员，进行样本清除；在NTA设备上分析访问过C2的用户，并联系其进行域账号冻结、终端下线、样本清除、持久化排查等应急响应动作。

   

2.7 附SOP流程图  

2.1 – 2.6的处置流程，如下图所示：

 

钓鱼邮件防范

在真实复杂的业务场景中，安全检测体系及安全设备大概率会出现漏报的情况。故在平时加强并持续进行全员安全意识宣贯、培训，打通内部员工与安全运营的互动通道，在条件允许的情况下对提供安全情报、反馈钓鱼邮件的员工进行物质奖励，会对漏报情况起到补充作用。

3、 安全意识培训  

在对员工进行安全意识教育时，生动的案例和必要的甄别方法能起到较好效果。常见的识别方法包括：

• 确认收件人名称和收件人邮箱地址一致：如果是公司邮件，发件人一定会使用工作邮箱，如果发现对方使用的是个人邮箱账号或邮箱账号拼写很奇怪，则需要提高警惕；
• 看邮件标题：“系统管理员”、“通知”、“异常”、“紧急”、“账号锁定”、“中奖”、“积分”、“>”等，这类标题的邮件需要谨慎打开；
• 看正文目的：当心对方索要登录密码，一般正规的发件人发送的邮箱不会索要账密信息；对于公司和个人的信息和权限，做到未确认不提供；
• 看正文内容：若邮件内含有链接，须谨慎点击。若链接要求输入用户名和密码、下载文件，不要直接输入、不要直接下载或下载后直接运行。

3.2 钓鱼邮件演练  

在安全意识培训及考试之后，再次发送钓鱼邮件验证培训效果，亦可以常态化进行邮件钓鱼执法，中招人员参加安全意识培训。

在实施邮件钓鱼前，有两点事项需要注意：

提前向领导报备：包括话术、目标人群、时间等，邮件发送领导进行报备。涉及到针对某部门的定向钓鱼时，还应知会其部门负责人，避免事后产生不必要的麻烦。

提前准备好环境：指自建SMTP邮件服务器（国内大厂云服务器默认禁用了25端口）、钓鱼域名（同形异构的字母）、伪造钓鱼网站、编写钓鱼话术、制作并测试后门文件等。不仅是要考虑绕过终端防病毒软件，还有bypass邮件安全网关的检测机制。