关于钓鱼攻击和防范这些事

本文将从攻击、检测处置和防范三个维度,分别介绍钓鱼攻击方式、钓鱼邮件安全事件运营及防范措施。 

1、钓鱼攻击矩阵

1.1 钓鱼攻击概述  

利用社会工程学进行攻击,是实战攻击中出现率非常高的手法之一。

使用钓鱼的方式突破边界,也是实战攻击中出现频率非常高的手法。

将社工和钓鱼结合起来用,是实战中最为常见、高效、经典的攻击姿势。从目标来看,社工钓鱼主要可以分为:

  • 信息获取类:目的在于收集目标相关的账号密码、VPN地址等敏感信息,如:
  • 1)通过联系客服,沟通目标及相关系统的试用,获取试用账号密码,登录系统后进行渗透测试;
  • 2)通过信息收集,获取目标相关的即时通讯方式,混入QQ群、微信群获取试用系统地址相关信息、公司VPN等。
  • 样本投递类:制作能绕AV的样本,通过沟通、邮件等方式投递给目标相关的员工,如:
  • 1)针对hr通过微信发送绑有后门的简历;
  • 2)联系销售发送绑有后门的客户需求资料;
  • 3)通过伪造目标企业内部的邮箱发送钓鱼邮件。

1.2 钓鱼攻击要点  

在开展钓鱼攻击前,需要针对目标公司、人员职务、企业邮箱及使用的终端杀软等进行尽可能多的信息收集,知己知彼方能提升中招率。其中有几个关键要素,需要精心准备:

  • 钓鱼攻击方式:至少可以是邮件钓鱼、网页钓鱼、WiFi钓鱼,也可以结合三者同时进行。笔者经历过比较厉害的一次是攻击队对某个开发人员进行钓鱼,先发带有恶意附件的钓鱼邮件让其通过CS上线,并在终端上翻看IM进行手机号等敏感信息收集,随后由于意外掉线。攻击队模拟公司安全人员,拨打其电话并告知已经被黑客控制,重新构造一封清除木马的木马工具给其使用,导致再次被远程控制。
  • 钓鱼目标群体:常见的包括HR、客户、销售、开发,广撒网的话就是针对全体员工。但后者对于有防护措施的公司而言,很难攻击成功,因为有全员邮件需要流程审批、邮件网关在技术上实现自动拦截等原因。
  • 钓鱼攻击原则:利用时事,吸引关注点;投其所好,抓住好奇感;史上最难,利用信任感。一切都是基于人性来攻击,成功率最高。
  • 优质样本及工具:样本落地不被杀软查杀,这是第一步,也是最基础的。做得比较好的公司还会有异常进程、异常行为等检测规则。攻击队可以打时间战,比如在非工作时间段动手、提升拿到据点后收集敏感信息自动化等方式。


1.3 钓鱼攻击矩阵   

以攻击方式为列,攻击目标为行,再填上话术和技术实现方式,由此可以编织出针对性极强的攻击矩阵,大致如下所示:

 

2、安全运营SOP

邮件钓鱼是钓鱼攻击最为常见的方式,但其应用又会掺杂社工、网页钓鱼等招数,已跃然成为攻击成功率最高的方式之一。其表现形式多种多样,如携带恶意附件、内容中含有恶意链接、话术型邮件等,对于防护和检测的难度都比较大。当收到邮件告警时,不同类型的方式处置稍微有点差异,不过大致可分为以下步骤:

钓鱼邮件确认->恶意样本检测->恶意地址封禁->确定影响范围->发起内部通告→人工清理后门。

2.1 钓鱼邮件确认  

根据告警信息人工判断是否为钓鱼邮件及其类型,在处理时有可能是垃圾邮件,也有可能是正常的业务来往的邮件,对于后者判断可能比较难以判断真实性,故需要与收件人确认常见钓鱼邮件类型有:

  • 附件钓鱼邮件:邮件携带附件,附件一般以可执行的恶意文件、利用word宏病毒以及其他已知漏洞为主,通过描述引导用户点击运行;
  • 链接钓鱼邮件:邮件内容中包含链接,诱导用户访问链接,可能会下载文件(如上),也可能是克隆的钓鱼页面,套取账号密码等敏感信息;
  • 话术钓鱼邮件:通过邮件内容引导用户到第三方平台或IM聊天群上,统一由专门人员通过聊天等方式进行钓鱼,直接传恶意文件或套取敏感信息均可能发生;
  • 其他钓鱼邮件:指以上三类之外的或以上三类的综合使用,具体的处置方式随着攻击方式而变化,不过万变不离其宗。


        

2.2 恶意样本检测  

针对样本投递类的攻击,钓鱼邮件可能是直接投递恶意样本,也可能间接投递(如在邮件内容中加入样本下载链接,通过话术加入IM群后引导在本机执行样本等)。按照钓鱼邮件类别分别做以下处置:

  • 所有钓鱼邮件:获取发件邮箱、发件人IP、邮件内容中的IP或域名等,上传威胁情报平台判断是否已被标记为恶意,得到攻击地址;
  • 附件钓鱼邮件:提取邮件附件,上传沙箱进行检测,分析出C2地址;
  • 链接钓鱼邮件:访问邮件内容中包含的链接,下载获取样本上传沙箱进行检测,分析出C2地址。若是信息收集类攻击,则仅需按照第一种操作即可。         

2.3 恶意地址封禁  

在邮件安全网关上拉黑发件邮箱;在公网防火墙上对已经分析出的恶意地址进行全面封禁(全面指防火墙是否同一进行策略管理),需要注意不能随意对发件人IP、邮件内容中的IP进行封禁,除非已经被威胁情报标记或判断其为恶意地址,否则可能造成误伤;在HIDS和EDR上,将恶意样本的MD5加入黑名单。      

2.4 确定影响范围  

确定内部受影响范围的方式大致可分为3种,一是直接在邮件安全网关上根据发件邮箱确定收件人范围;二是在公网FW、NTA设备上查询钓鱼邮件内容中含有的IP或域名、C2地址,根据访问情况来确定范围;三是在HIDS和EDR上查询是否存在恶意文件(md5),根据样本落地情况来确定范围。

2.5 推送内部通告  

若钓鱼邮件是大范围投递,则需发送全员邮件或公众号进行防钓鱼提醒、用户已进行操作报备(如已点击恶意样本);若仅投递少数人,则单点联系收件人并询问个人接收到后的操作情况。      

2.6 人工清理后门  

通知收到钓鱼邮件的人员,进行样本清除;在NTA设备上分析访问过C2的用户,并联系其进行域账号冻结、终端下线、样本清除、持久化排查等应急响应动作。

   

2.7 附SOP流程图  

2.1 – 2.6的处置流程,如下图所示:

 

钓鱼邮件防范

在真实复杂的业务场景中,安全检测体系及安全设备大概率会出现漏报的情况。故在平时加强并持续进行全员安全意识宣贯、培训,打通内部员工与安全运营的互动通道,在条件允许的情况下对提供安全情报、反馈钓鱼邮件的员工进行物质奖励,会对漏报情况起到补充作用。

3、 安全意识培训  

在对员工进行安全意识教育时,生动的案例和必要的甄别方法能起到较好效果。常见的识别方法包括:

  • 确认收件人名称和收件人邮箱地址一致:如果是公司邮件,发件人一定会使用工作邮箱,如果发现对方使用的是个人邮箱账号或邮箱账号拼写很奇怪,则需要提高警惕;
  • 看邮件标题:“系统管理员”、“通知”、“异常”、“紧急”、“账号锁定”、“中奖”、“积分”、“>”等,这类标题的邮件需要谨慎打开;
  • 看正文目的:当心对方索要登录密码,一般正规的发件人发送的邮箱不会索要账密信息;对于公司和个人的信息和权限,做到未确认不提供;
  • 看正文内容:若邮件内含有链接,须谨慎点击。若链接要求输入用户名和密码、下载文件,不要直接输入、不要直接下载或下载后直接运行。

3.2 钓鱼邮件演练  

在安全意识培训及考试之后,再次发送钓鱼邮件验证培训效果,亦可以常态化进行邮件钓鱼执法,中招人员参加安全意识培训。

在实施邮件钓鱼前,有两点事项需要注意:

提前向领导报备:包括话术、目标人群、时间等,邮件发送领导进行报备。涉及到针对某部门的定向钓鱼时,还应知会其部门负责人,避免事后产生不必要的麻烦。

提前准备好环境:指自建SMTP邮件服务器(国内大厂云服务器默认禁用了25端口)、钓鱼域名(同形异构的字母)、伪造钓鱼网站、编写钓鱼话术、制作并测试后门文件等。不仅是要考虑绕过终端防病毒软件,还有bypass邮件安全网关的检测机制。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/30995.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

[Qt] 基于Tcp协议的聊天室实现(Chat Room 局域网通信)

时间:2016年12月11日 一、写在前面: 平时做图形学的东西多一些,虽然一直对网络编程很感兴趣,但是没有什么机会去尝试一下。最近正好赶上期末的课程实习,然后就参考Qt官方的 Network Programming References&#xff0c…

【C语言】实现简易网络聊天室

项目: 制作一个简易的聊天室,实现实时非单机聊天 知识点: 总体框架: socket() 创造套接字函数: 然后设置 bind() ,调整 IP 参数: 然后设置 listen() : 然后设置 accept() &#…

从一篇防范钓鱼邮件的通知说起

文章目录 1. 网络防骗无小事2. 安全需求很多,怎么办?3. 方案还是有的4. 不仅仅只是好用 1. 网络防骗无小事 网络冲浪一时爽, 网上翻车遭大殃。 网络安全无小事, 时时刻刻记心上。 当今社会,互联网把偌大的地球变成了一个地球村。…

【C++简单项目】基于socket实现的聊天室Chat_Room

一、需求分析 聊天室中如果有人说话,服务器将内容传送给聊天室的其他人。 那么就需要客户端和服务端两个程序,一个人发送一个消息,服务器向所有人发送一遍消息,所有人的客户端接收消息,也就是说客户端负责发送和接受消…

基于TCP的网络聊天室实现(C语言)

基于TCP的网络聊天室实现(C语言) 一、网络聊天室的功能二、网络聊天室的结果展示三、实现思路及流程四、代码及说明1.LinkList.h2.LinkList.c3.client.c4.server.c 一、网络聊天室的功能 有新用户登录,其他在线的用户可以收到登录信息 有用户…

CobaltStrike(钓鱼攻击工具)

一、介绍 1、CobaltStrike是一款渗透测试软件,分为客户端与服务端,可以进行团队分布式操作,服务端:1个,客户端:N个,被业界人称为CS神器。 2、CobaltStrike集成了端口转发、服务扫描,自动化溢出,…

Discord 私信钓鱼手法分析

事件背景 5 月 16 日凌晨,当我在寻找家人的时候,从项目官网的邀请链接加入了官方的 Discord 服务器。在我加入服务器后立刻就有一个"机器人"(Captcha.bot)发来私信要我进行人机验证。这一切看起来相当的合理。我也点击了这个验证链接进行查看。…

154.网络安全渗透测试—[Cobalt Strike系列]—[钓鱼攻击/鱼叉钓鱼]

我认为,无论是学习安全还是从事安全的人多多少少都有些许的情怀和使命感!!! 文章目录 一、钓鱼攻击和鱼叉钓鱼简介1、钓鱼攻击简介2、钓鱼攻击模块:6个3、鱼叉钓鱼简介4、鱼叉钓鱼示例:邮件钓鱼 二、钓鱼攻…

个人年终述职报告PPT怎么做?

适用于职场工作汇报、述职报告、岗位竞聘的PPT模板 这套微粒体风格的述职报告PPT模板采用了立体的几何图形设计,以白色、橙色、深蓝色为主,整体设计简约大气高端。其中还结合了时间轴、流程图、脑图等PPT素材,可以更直观展现工作述职报告的内…

计算机机房防雷接地标准,机房防雷接地规范与防雷接地方式,你知道吗?

雷电的描述 雷电是由天空中云层间的相互高速运动、剧烈磨擦,使高端云层和低端云层带上相反电荷。此时,低端云层在其下面的大地上也感应出大量的异种电荷,形成一个极大的电容,当其场强达到一定强度时,就会产生对地放电&…

地凯模块化机房防雷接地防雷工程设计方案

智能微模块的防雷接地系统由防雷方案和接地方案组成。 防雷方案:智能微模块主要有以下防雷工程方案。 SPD(surge protection device)浪涌保护器的安装符合以下要求:SPD 安装在被保护设备 的前端,SPD 的连接导线应尽可…

防雷工程中防雷等级的意义

在现代社会中,各种电子设备和通信系统已经成为我们生活中不可或缺的一部分。然而,雷击是这些设备和系统的一个常见问题,不仅会导致设备损坏,还可能对人们的生命财产造成威胁。因此,防雷措施变得尤为重要。 为了保护设…

防雷接地的施工工艺与防雷施工方案

雷电是自然界的一种强大而危险的自然现象,经常造成重大财产损失和人员伤亡。为了保护建筑物和人员免受雷电的危害,防雷接地系统的设计和施工至关重要。本文将介绍防雷接地的施工工艺和防雷施工方案,强调专业和符合国家标准的方法,…

防雷知识:什么是雷电浪涌

浪涌是突然发生并超过典型工作电压的过电压。一般来说,浪涌是电路中短暂的电流、电压或功率波。今天我们就来科普一下什么是雷电浪涌。 什么是浪涌? 浪涌,顾名思义,是一种突然发生并超过典型工作电压的过电压。一般来说&#xf…

单位、家庭建筑物电气、电子设备防雷举措

前 言 在现实的学习、工作、生活中,有时会面对自然灾害、重特大事故、环境公害及人为破坏等突发事件,为了控制事故的发展,就不得不需要事先制定应急预案。那要怎么制定科学的应急预案呢﹖下面是小编为大家整理的单位、住宅建筑物、电子电气防…

科学防雷接地和雷电防护方案

说到防雷,可能不少人首先会想到避雷针,而“避雷针”这一概念,很容易让大家对防雷的概念造成误解。 误解1: 避雷针是用来“避雷”的。 其实,避雷针的学名叫“接闪器”,不是用来“避开雷击”的,而是用来“迎…

通信基站防雷接地方案

由于各基站的环境和建设方式不同,所以对基站防雷接地不能一概而论,应根据具体情况采取防雷与接地措施, 因地制宜实施防雷接地工程,将基站接地系统按照均压等电位的原理进行设计和改造,即通信设备的工作地、保护地、防雷…

智能云防雷,信号浪涌保护器防雷接地方案

1 现代防雷的重点是信息化设备 信息技术设备是集计算机技术和微电子技术于一身的高科技技术产品,由大规模芯片电路组成,信号电压低,抗雷击电磁脉冲(LEMP)的能力很差,在闪电强磁场环境下的易损性较高。雷电已成为信息技术应用中的一…

做好防雷检测的重要意义和作用

防雷检测是一项非常重要的工作,它可以保障人们的生命财产安全,并维护国家的安全稳定。地凯科技将从防雷的重要性、防雷检测的行业应用和防雷行业国标三个方面来阐述防雷检测的重要性。 一、防雷的重要性 随着科技的不断发展,人们的生活和工作…

同为(TOWE)远程智能防雷预警监测——交直流遥信防雷配电柜

当前,社会各领域中各类先进的电子仪器广泛分布于每一个角落,由于高精尖电子设备的高度集成化,其耐压水平普遍较低,导致雷电流、浪涌侵入设备的风险越来越高,故需要在重要设备前端加装浪涌保护器(SPD&#x…