蓝军必读|一招教你识破钓鱼邮件

释放双眼,带上耳机,听听看~!
 



蓝军防守进行时

黑客的攻击方式层出不穷,这也直接导致了蓝队安全防护工作难以全面开展。就拿本次活动举例,目前进行到一半,红队攻击者先是从传统的集中式互联网攻击,逐渐过渡到军备(XDay)的竞争,社工、钓鱼等攻击也随即浮出水面,中间还夹杂着一些基于攻击目标现场WiFi、物理终端的攻击,基于人类心理学的攻击,后半段可能还会出现一些不合规的攻击方式,这使得本次活动的攻击级别上升到了一个新的高度。

本文着重介绍一下如何快速识别钓鱼邮件,希望可以给各位蓝队防护者带来一些帮助。

传统的钓鱼邮件一般分为鱼叉攻击与水坑攻击,提到这些名词大家肯定不陌生,但是这些活跃在胶片上的名词如果真的出现在现实生活中,一般防御者就会难以识别了。即使是专业安全人员,也有部分在检测钓鱼邮件的时候差点中招。


01

钓鱼邮件的操作

钓鱼邮件为了实现其目的,一般会有以下四种操作:


1.要求点击安装某个文件:

目的是为了用户点击安装以后,反弹一个shell到远端的控制机上,这些文件往往会做好了各家杀毒厂商的免杀工作,杀软一般难以识别。伪装的文件一般有如下几类:

a、 伪装成正常的程序安装,但是嵌入的恶意的C2代码

b、 伪装成一些企业敏感文件,如:财务文件,整改通知书,行政处罚通知书,并伴随着一些常用软件(Office、IE等)溢出漏洞的恶意代码。

c、 通过超长用户名,将恶意的后缀,如exe隐藏在不显眼处。

d、 伪装成挖矿病毒、勒索软件,这两者的本质都是实现了远控。

等等等等


2.要求登录一个页面(输入账号与口令):

目的是为了获取某些敏感用户的口令,或者口令习惯。


3.要求回复邮件(敏感信息):

目的是为了获取某些敏感用户的信息,比如通讯录清单,用于后期精准爆破/手动猜解。


4.只要查看邮件就会触发:

这一类往往需要配合操作系统/浏览器的0day或者Nday,攻击成本较高,并且需要对攻击者使用的终端应用软件进行比较精准的识别,比较少见。


02

钓鱼邮件的伪装

钓鱼邮件也会进行很多的伪装,比如说:


1、 通过社工获得目标单位的某个邮件账号,用内部邮箱进行钓鱼。

2、 通过社工获得某些监管机关/上级机构的某个邮件账号,用某些监管机关/上级机构的邮箱进行钓鱼。

3、 通过社工、远控,获得目标的私人邮箱账号,进行钓鱼。

4、 钓鱼网站可能会盗用目标单位的域名,甚至显示目标单位的“证书”。

5、 钓鱼程序可能会伪装成正常的程序,比如杀软、红头文件word、通讯工具。

6、 钓鱼邮件采用压缩包的方式,逃过查杀。


03

钓鱼邮件的防御

钓鱼邮件那么多,我们应该怎样进行防御呢?


1、 遇到可疑邮件、可疑文件,不要随意点击,不要随意输入账户密码,先报告安全管理人员。

2、 如果点击了可疑邮件、可疑文件,立即断网,并报告安全管理人员。

3、 时刻保持操作系统的补丁已经全部打上。

4、 不随便使用破解版软件。

5、 网关处审计设备时刻关注恶意的回连,若回连地址为国外IP、VPS服务商IP,确认非本单位业务后,实时封堵。




专注渗透测试技术

全球最新网络攻击技术

END




——

———


本文源自微信公众号:雷神众测

人已赞赏
安全工具

net利用Att&ckT1121

2019-10-14 14:32:37

安全工具

浙江省第二届大学生网络与信息安全竞赛

2019-10-14 14:32:43

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索