java中的接口是类吗
263
2022-10-23
总结:某大型演练中红队钓鱼邮件手法复盘
与漏洞挖掘利用或各种伪装及相比,钓鱼邮件因其成功率高、操作简单成为了演练中最常见的***方式之一。
这也与现实的网络安全情况相吻合。
2020年Verizon数据泄露调查报告(DBIR)发现,恶意电子邮件附件是数据泄露和勒索软件***的主要原因。统计发现40%的***都使用的是电子邮件链接,电子邮件链接成为了最常用的感染载体。
最有效的办法是在***演习前以及日常工作中进行不定期式的反钓鱼演练,通过仿真训练提升全员的安全防范意识,降低企业信息泄露的风险。
在最近一次长达半个月的大型演练中,CAC云安全中心通过发信行为分析、邮件内容特征检测、恶意URL检测、附件检测等多种方式,主动发现并处理了16起恶意邮件。
尽管网传了不少红队(方)气势汹汹要把蓝队(防守方)的“内网打穿”的段子,但演习结束后,CAC云安全中心总结发现恶意邮件的套路基本大同小异,下边就以一个典型案例来给大家复盘一下钓鱼邮件的典型特征,以供参考。
01 ***复盘:冒充管理员群发钓鱼邮件
2021年4月12日,CAC云安全中心在例行的巡查工作中,发现了一例疑似针对某单位的恶意***行为。
1、个人邮箱账号仿冒,赢取信任。发件人假装企业“技术管理部-紧急通知”,且邮件内容措辞正式。通过身份伪装,使受害者卸下心防,更容易达成***的目的。2、反常的加密附件,躲避防病毒查杀。邮件内容为下载加密的“自检工具”检查电脑漏洞,并非金融、账务、内部机密等敏感文件,却进行加密传输,且密码附在邮件原文中,这不符合加密的逻辑。
钓鱼邮件示例
小tip:为什么附件加密压缩可以绕过防病毒检测呢?事实上,只要对附件进行了加密与压缩,任何的防病毒检测工具便失效了,因为其无法探测到加密文件的内部情况。而者还会通过恶意附件类型仿冒(.docx.exe)、利用空格延长恶意附件文件名等手段,进行恶意附件的免杀处理,“巧妙”绕过各类反病毒、云沙箱等杀毒产品的防线。3、轮换发信人发信。该主题邮件发送了12封,轮换4个不同的个人邮箱账号发送,发给同一域名的收信人。除第一封邮件为队测试邮件外,其余邮件内容、主题、fromname都一致。
4、发信方非常谨慎。发信方在短时间内持续发送了11封邮件,但在CAC云安全中心拦截该主题邮件后,对方立马察觉并停止发送邮件。
5、所有邮件的发信IP均为境外的代理节点IP。
6、第一封邮件收信方已被盗号。该账号今年内仅接收10封邮件,且均为垃圾邮件,4月8日前无发信记录,但在4月9日发送2封可疑邮件,经安全专家分析确认该账号已被盗号,密码、通讯等敏感信息被泄露。
同样的情况也发生在某国有集团身上,2021年4月9日,某国有集团就收到了一封主题为“投诉关于**拖欠民工工资的事情!!”的恶意附件邮件,恶意附件为“拖欠民工工资线索整理.zip”。
演练期间,可以看出红方***在邮件主题方面确实绞尽脑汁。
邮件主题从煽动信息到求职举报,再到漏洞自检、放假安排。深谙网络爆款十万+文章的蹭热点精髓,就业再上岗转战新媒体也未尝不可。
安全建议:建立应急响应机制,提升安全意识
从上述复盘可以看出钓鱼邮件的***是一个持久而富有挑战的过程,我们在此对广大邮件系统用户提出以下安全建议:
1、部署安全有效的邮件安全网关或云服务,提升邮件内容安全防护
2、企业应建立快速的安全应急响应机制,发现恶意邮件批量投递成功等事件,应及时删除恶意邮件,并对受影响账号快速进行处置
版权声明:本文内容由网络用户投稿,版权归原作者所有,本站不拥有其著作权,亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容,请联系我们jiasou666@gmail.com 处理,核实后本网站将在24小时内删除侵权内容。
发表评论
暂时没有评论,来抢沙发吧~