关于钓鱼攻击和防范这些事

这篇具有很好参考价值的文章主要介绍了关于钓鱼攻击和防范这些事。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

本文将从攻击、检测处置和防范三个维度,分别介绍钓鱼攻击方式、钓鱼邮件安全事件运营及防范措施。 

1、钓鱼攻击矩阵

1.1 钓鱼攻击概述  

利用社会工程学进行攻击,是实战攻击中出现率非常高的手法之一。

使用钓鱼的方式突破边界,也是实战攻击中出现频率非常高的手法。

将社工和钓鱼结合起来用,是实战中最为常见、高效、经典的攻击姿势。从目标来看,社工钓鱼主要可以分为:

  • 信息获取类:目的在于收集目标相关的账号密码、VPN地址等敏感信息,如:
  • 1)通过联系客服,沟通目标及相关系统的试用,获取试用账号密码,登录系统后进行渗透测试;
  • 2)通过信息收集,获取目标相关的即时通讯方式,混入QQ群、微信群获取试用系统地址相关信息、公司VPN等。
  • 样本投递类:制作能绕AV的样本,通过沟通、邮件等方式投递给目标相关的员工,如:
  • 1)针对hr通过微信发送绑有后门的简历;
  • 2)联系销售发送绑有后门的客户需求资料;
  • 3)通过伪造目标企业内部的邮箱发送钓鱼邮件。

1.2 钓鱼攻击要点  

在开展钓鱼攻击前,需要针对目标公司、人员职务、企业邮箱及使用的终端杀软等进行尽可能多的信息收集,知己知彼方能提升中招率。其中有几个关键要素,需要精心准备:

  • 钓鱼攻击方式:至少可以是邮件钓鱼、网页钓鱼、WiFi钓鱼,也可以结合三者同时进行。笔者经历过比较厉害的一次是攻击队对某个开发人员进行钓鱼,先发带有恶意附件的钓鱼邮件让其通过CS上线,并在终端上翻看IM进行手机号等敏感信息收集,随后由于意外掉线。攻击队模拟公司安全人员,拨打其电话并告知已经被黑客控制,重新构造一封清除木马的木马工具给其使用,导致再次被远程控制。
  • 钓鱼目标群体:常见的包括HR、客户、销售、开发,广撒网的话就是针对全体员工。但后者对于有防护措施的公司而言,很难攻击成功,因为有全员邮件需要流程审批、邮件网关在技术上实现自动拦截等原因。
  • 钓鱼攻击原则:利用时事,吸引关注点;投其所好,抓住好奇感;史上最难,利用信任感。一切都是基于人性来攻击,成功率最高。
  • 优质样本及工具:样本落地不被杀软查杀,这是第一步,也是最基础的。做得比较好的公司还会有异常进程、异常行为等检测规则。攻击队可以打时间战,比如在非工作时间段动手、提升拿到据点后收集敏感信息自动化等方式。


1.3 钓鱼攻击矩阵   

以攻击方式为列,攻击目标为行,再填上话术和技术实现方式,由此可以编织出针对性极强的攻击矩阵,大致如下所示:

钓鱼攻击,红蓝对抗,内网渗透,安全

 

2、安全运营SOP

邮件钓鱼是钓鱼攻击最为常见的方式,但其应用又会掺杂社工、网页钓鱼等招数,已跃然成为攻击成功率最高的方式之一。其表现形式多种多样,如携带恶意附件、内容中含有恶意链接、话术型邮件等,对于防护和检测的难度都比较大。当收到邮件告警时,不同类型的方式处置稍微有点差异,不过大致可分为以下步骤:

钓鱼邮件确认->恶意样本检测->恶意地址封禁->确定影响范围->发起内部通告→人工清理后门。

2.1 钓鱼邮件确认  

根据告警信息人工判断是否为钓鱼邮件及其类型,在处理时有可能是垃圾邮件,也有可能是正常的业务来往的邮件,对于后者判断可能比较难以判断真实性,故需要与收件人确认常见钓鱼邮件类型有:

  • 附件钓鱼邮件:邮件携带附件,附件一般以可执行的恶意文件、利用word宏病毒以及其他已知漏洞为主,通过描述引导用户点击运行;
  • 链接钓鱼邮件:邮件内容中包含链接,诱导用户访问链接,可能会下载文件(如上),也可能是克隆的钓鱼页面,套取账号密码等敏感信息;
  • 话术钓鱼邮件:通过邮件内容引导用户到第三方平台或IM聊天群上,统一由专门人员通过聊天等方式进行钓鱼,直接传恶意文件或套取敏感信息均可能发生;
  • 其他钓鱼邮件:指以上三类之外的或以上三类的综合使用,具体的处置方式随着攻击方式而变化,不过万变不离其宗。


        

2.2 恶意样本检测  

针对样本投递类的攻击,钓鱼邮件可能是直接投递恶意样本,也可能间接投递(如在邮件内容中加入样本下载链接,通过话术加入IM群后引导在本机执行样本等)。按照钓鱼邮件类别分别做以下处置:

  • 所有钓鱼邮件:获取发件邮箱、发件人IP、邮件内容中的IP或域名等,上传威胁情报平台判断是否已被标记为恶意,得到攻击地址;
  • 附件钓鱼邮件:提取邮件附件,上传沙箱进行检测,分析出C2地址;
  • 链接钓鱼邮件:访问邮件内容中包含的链接,下载获取样本上传沙箱进行检测,分析出C2地址。若是信息收集类攻击,则仅需按照第一种操作即可。         

2.3 恶意地址封禁  

在邮件安全网关上拉黑发件邮箱;在公网防火墙上对已经分析出的恶意地址进行全面封禁(全面指防火墙是否同一进行策略管理),需要注意不能随意对发件人IP、邮件内容中的IP进行封禁,除非已经被威胁情报标记或判断其为恶意地址,否则可能造成误伤;在HIDS和EDR上,将恶意样本的MD5加入黑名单。      

2.4 确定影响范围  

确定内部受影响范围的方式大致可分为3种,一是直接在邮件安全网关上根据发件邮箱确定收件人范围;二是在公网FW、NTA设备上查询钓鱼邮件内容中含有的IP或域名、C2地址,根据访问情况来确定范围;三是在HIDS和EDR上查询是否存在恶意文件(md5),根据样本落地情况来确定范围。

2.5 推送内部通告  

若钓鱼邮件是大范围投递,则需发送全员邮件或公众号进行防钓鱼提醒、用户已进行操作报备(如已点击恶意样本);若仅投递少数人,则单点联系收件人并询问个人接收到后的操作情况。      

2.6 人工清理后门  

通知收到钓鱼邮件的人员,进行样本清除;在NTA设备上分析访问过C2的用户,并联系其进行域账号冻结、终端下线、样本清除、持久化排查等应急响应动作。

   

2.7 附SOP流程图  

2.1 – 2.6的处置流程,如下图所示:

钓鱼攻击,红蓝对抗,内网渗透,安全

 

钓鱼邮件防范

在真实复杂的业务场景中,安全检测体系及安全设备大概率会出现漏报的情况。故在平时加强并持续进行全员安全意识宣贯、培训,打通内部员工与安全运营的互动通道,在条件允许的情况下对提供安全情报、反馈钓鱼邮件的员工进行物质奖励,会对漏报情况起到补充作用。

3、 安全意识培训  

在对员工进行安全意识教育时,生动的案例和必要的甄别方法能起到较好效果。常见的识别方法包括:

  • 确认收件人名称和收件人邮箱地址一致:如果是公司邮件,发件人一定会使用工作邮箱,如果发现对方使用的是个人邮箱账号或邮箱账号拼写很奇怪,则需要提高警惕;
  • 看邮件标题:“系统管理员”、“通知”、“异常”、“紧急”、“账号锁定”、“中奖”、“积分”、“>”等,这类标题的邮件需要谨慎打开;
  • 看正文目的:当心对方索要登录密码,一般正规的发件人发送的邮箱不会索要账密信息;对于公司和个人的信息和权限,做到未确认不提供;
  • 看正文内容:若邮件内含有链接,须谨慎点击。若链接要求输入用户名和密码、下载文件,不要直接输入、不要直接下载或下载后直接运行。

3.2 钓鱼邮件演练  

在安全意识培训及考试之后,再次发送钓鱼邮件验证培训效果,亦可以常态化进行邮件钓鱼执法,中招人员参加安全意识培训。

在实施邮件钓鱼前,有两点事项需要注意:

提前向领导报备:包括话术、目标人群、时间等,邮件发送领导进行报备。涉及到针对某部门的定向钓鱼时,还应知会其部门负责人,避免事后产生不必要的麻烦。

提前准备好环境:指自建SMTP邮件服务器(国内大厂云服务器默认禁用了25端口)、钓鱼域名(同形异构的字母)、伪造钓鱼网站、编写钓鱼话术、制作并测试后门文件等。不仅是要考虑绕过终端防病毒软件,还有bypass邮件安全网关的检测机制。文章来源地址https://www.toymoban.com/news/detail-676193.html

到了这里,关于关于钓鱼攻击和防范这些事的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 红蓝对抗-HW红蓝队基本知识

    第一章 什么是蓝队 蓝队,一般是指网络实战攻防演习中的攻击一方。 蓝队一般会采用针对目标单位的从业人员,以及目标系统所在网络内的软件、硬件设备同时执行多角度、全方位、对抗性的混合式模拟攻击手段;通过技术手段实现系统提权、控制业务、获取数据等渗透目

    2024年02月05日
    浏览(46)
  • 内网渗透(六十一)之Kerberosating攻击

    Kerberosating攻击发生在Kerberos协议的TGS_REP阶段,KDC的TGS服务返回一个由服务Hash 加密的ST给客户端。由于该ST是用服务Hash进行加密的,因此客户端在拿到该ST后可以用于本地离线爆破。如果攻击者的密码字典足够强大,则很有可能爆破出SPN链接用户的明文密码。如果该服务在域内

    2024年02月02日
    浏览(35)
  • 红蓝对抗-最全信息收集工具

    项目简介 项目地址 项目名称 reconFTW 集成了30个工具的信息收集利器 https://github.com/six2dez/reconftw reconftw 资产无限巡航扫描系统 https://github.com/awake1t/linglong linglong SRC子域名资产监控 https://github.com/LangziFun/LangSrcCurise LangSrcCurise 快速侦察与目标关联的互联网资产,构建基础资产信

    2024年02月08日
    浏览(46)
  • 【红蓝攻防鸿篇巨著】ATT&CK视角下的红蓝对抗实战指南

    【文末送书】今天推荐一本网安领域优质书籍《ATTCK视角下的红蓝对抗实战指南》,本文将从其亮点与内容出发,详细阐发其对于网安从业人员的重要性与益处。 根据中国互联网络信息中心(CNNIC)发布的第51次《中国互联网络发展状况统计报告》,截至2022年12月,我国网民规

    2024年02月07日
    浏览(46)
  • 大数据平台红蓝对抗 - 磨利刃,淬精兵!

    目前大促备战常见备战工作:专项压测(全链路压测、内部压测)、灾备演练、降级演练、限流、巡检(监控、应用健康度)、混沌演练(红蓝对抗),如下图所示。随着平台业务越来越复杂,红蓝对抗的作用愈来愈明显,下面将详细介绍大数据平台在本次双十一大促备战工

    2024年02月05日
    浏览(37)
  • p80 红蓝对抗-AWD 模式&准备&攻防&监控&批量

    数据来源  何为AWD AWD 常见比赛规则说明: Attack With Defence,简而言之就是你既是一个 hacker(黑客),又是一个 manager 。 比赛形式:一般就是一个 ssh 对应一个 web 服务,然后 flag 五分钟一轮,各队一般都有自己的初始 分数,flag 被拿会被拿走 flag 的队伍均分,主办方会对每个队

    2024年02月06日
    浏览(38)
  • 通过IP地址如何防范钓鱼网站诈骗?

    随着互联网的普及和发展,钓鱼网站诈骗的风险日益增加。钓鱼网站通过伪装成合法网站,诱导用户输入个人敏感信息进而进行非法活动。IP地址作为网络通信的基本单位,可以在一定程度上帮助我们防范钓鱼网站诈骗。本文将探讨IP地址防范钓鱼网站诈骗的方法和措施。  

    2024年02月11日
    浏览(43)
  • p81 红蓝对抗-AWD 监控&不死马&垃圾包&资源库

    数据来源 注意:一下写的东西是在p80 红蓝对抗-AWD 模式准备攻防监控批量这篇文章的基础上进行的 演示案例: 防守-流量监控-实时获取访问数据包流量 攻击-权限维持-不死脚本后门生成及查杀  其他-恶意操作-搅屎棍发包回首掏共权限 准备-漏洞资源-漏洞资料库及脚本工具

    2023年04月08日
    浏览(98)
  • 【渗透测试】Cobalt Strike制作钓鱼邮件渗透Windows

    在kali中使用Cobalt Strike制作钓鱼邮件,对Windows进行渗透 kali(服务端):192.168.175.129 win11(攻击机):192.168.175.128 win11(靶机):192.168.175.137 将压缩包解压 若要解压到指定路径,先新建文件夹,使用以下命令 进入解压后的Server文件夹,赋予文件执行权限 192.168.175.129为Kali机器

    2024年02月16日
    浏览(52)
  • 钓鱼攻击:相似域名识别及如何有效预防攻击

    网络犯罪分子很乐意劫持目标公司或其供应商或业务合作伙伴的官方域名,但在攻击的早期阶段,他们通常没有这种选择。相反,在有针对性的攻击之前,他们会注册一个与受害组织的域名相似的域名 - 他们希望您不会发现其中的差异。此类技术称为相似攻击。 相似域名是指

    2024年02月13日
    浏览(38)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包