当前位置:   article > 正文

再谈钓鱼邮件_domain dossier

domain dossier

再谈钓鱼邮件

概述

最近对邮件的防御策略进行了更新,结合威胁情报和安全沙箱对收到的钓鱼邮件进行了分析,期望这些案例能对大家有所帮助。

网关上拦截的钓鱼邮件基本可以分三个类别:链接钓鱼邮件附件钓鱼邮件以及邮件头伪造钓鱼邮件(或者叫仿冒邮件)。

钓鱼邮件类型

在这里插入图片描述

原理说明

链接钓鱼

在这里插入图片描述

附件钓鱼

在这里插入图片描述

邮件头伪造钓鱼

在这里插入图片描述

钓鱼邮件案例展示

案例:伪造财务、人力通知:

在这里插入图片描述
在这里插入图片描述

案例:伪造安全告警通知

通过信息收集获取到公司安全或运维部门的邮箱时,可根据最新爆发的漏洞给全体员工发送补丁更新通知,可将最新漏洞的补丁(exe为免杀的远控木马等)作为邮件附件,并提示大家下载后运行进行补丁修复,比如这样的一封钓鱼邮件:

在这里插入图片描述

案例:伪造系统升级通知

邮件通知公司全员:公司常用系统升级,需要通过新的系统进行相关操作。比如构造如下的一封钓鱼邮件,通知公司全员,手机OA系统升级,需要通过扫描二维码重新进入,从而诱导员工扫描钓鱼二维码,钓取员工相关的账号和密码等敏感信息:

在这里插入图片描述
在这里插入图片描述

案例:伪造快递通知

在这里插入图片描述

在这里插入图片描述

钓鱼邮件分析

通过邮件网关进行拦截,拿到了原始的钓鱼邮件,首先需要确保将其转化成 EML 文本格式,可用工具:

https://github.com/mvz/msgconvert

接着,我们至少需要从以下几个方面来分析:

1)原始邮件头,包括:From, envelope-from, SPF, client-ip 等

1.1)可以通过 dig 命令,如:dig -t txt baidu.com,来检查邮件是否被 spoof了

1.2)对比 From 和 envelope-from 是否一致,也是应该判断是否为恶意邮件的有效方法

2)原始邮件正文,包括:域名/IP,URL,附件等

2.1)域名/IP 和 URL 的分析可以使用分析辅助工具里提到的相应工具来分析,判断是否存在 multi-stage C&C

2.2)附件的分析也可以使用分析辅助工具里提到的在线/本地恶意程序分析沙箱或者自行逆向分析,进而了解恶意程序的执行逻辑以及对应的 IOC (域名,URL,文件,注册表键值,执行的系统命令等)

2.3)利用日志分析平台,查询恶意域名的 DNS 或者 HTTP(S) 流量日志,结合主机 EDR(Endpoint Detection and Response)终端日志将 DNS 请求关联到相应的主机进程,如:ETW for Windows,BCC/eBPF for Linux 等

2.4)查询触发恶意域名的 DNS 请求的主机进程的整个进程树,分析 malware 完整的执行链,例如:outlook.exe -> winword.exe -> cmd.exe -> powershell.exe

2.5)查询所有触发了上述执行链的受感染主机,并重复2.4)的步骤直到没有新的执行链被发现为止

在分析完了以上这些,我们就可以添加对应的防御和检测措施了,例如:

1)通过DNS Sinkhole 来阻断所有恶意域名的 DNS 请求

2)确保终端反病毒程序可以检测并清理每个阶段的恶意文件

3)添加防火墙规则来阻止内网主机对恶意IP地址的访问

4)隔离重装已经感染的主机进行

5)重置受感染内网用户的登录凭证

6)删除所有企业用户收到的来自同一恶意发送者的邮件

7)将分析得出的 IOC 添加到 IOC 检测平台

8)依据已发现的 Malware 执行链添加新的入侵检测规则

分析辅助工具

第一类,域名与 IP 检测工具:

https://centralops.net/co/DomainDossier.aspx?dom_whois=1&net_whois=1&dom_dns=1

https://www.threatcrowd.org/

https://www.threatminer.org/

https://www.virustotal.com/en/

https://www.talosintelligence.com/

https://login.opendns.com/

https://www.alexa.com/siteinfo

https://x.threatbook.cn/en

https://checkphish.ai/domain/avfisher.win

第二类,URL 检测工具:

https://urlscan.io/

https://sitecheck.sucuri.net/results/pool.cortins.tk

https://quttera.com/

https://www.virustotal.com/en/

https://checkphish.ai/

第三类,TOR 节点检测工具:

https://www.dan.me.uk/torcheck

https://exonerator.torproject.org/

https://ipduh.com/ip/tor-exit/

https://torstatus.blutmagie.de/

第四类,在线恶意程序或文档检测工具:

https://www.virustotal.com/en/

https://malwr.com/

http://camas.comodo.com/

https://x.threatbook.cn/en

https://www.reverse.it/

http://www.threatexpert.com/submit.aspx

https://www.vicheck.ca/

https://virusshare.com/

https://malshare.com/

https://github.com/ytisf/theZoo

第五类,动态恶意程序或文档分析工具:

Cuckoo:

https://github.com/cuckoosandbox/cuckoo

Regshot:

https://sourceforge.net/projects/regshot/

Process Hacker:

http://processhacker.sourceforge.net/

Process Monitor:

https://technet.microsoft.com/en-us/sysinternals/processmonitor.aspx

ProcDOT:

https://www.cert.at/downloads/software/procdot_en.html

WinDump:

https://www.winpcap.org/windump/

Graphviz:

http://www.graphviz.org/Download…php

Capture-BAT:

https://www.honeynet.org/node/315 (x86 environment only)

Fakenet:

https://sourceforge.net/projects/fakenet/

Wireshark:

https://www.wireshark.org/#download

第六类,邮件检测工具:

http://spf.myisp.ch/

总结

源IP主要来自国外,鞭长莫及,反制手段有限,目前只有加强自身防御体系建设,尽量提高员工安全意识。计划搭建内部钓鱼平台,开展一次钓鱼演练。

钓鱼邮件演练

https://github.com/gophish/gophish

设定邮件主题

  • 根据最近拦截的邮件,设定主题

设定难度

  • 一级钓鱼攻击——有很多指标可以很容易识别出是“钓鱼邮件”
  • 二级钓鱼攻击——基于公司信息或个人信息的邮件
  • 三级钓鱼攻击——有指向性、针对性的钓鱼攻击
  • 四级钓鱼攻击或鱼叉式钓鱼攻击——具备个性化信息、商标、无拼写错误等特征。

注意事项

  1. 不能冒充公检法相关监管单位,包括logo、电话、工作人员真实信息等
  2. 内容需要合规。邮件正文中不能发布、传播反党反社会舆论;不得侵犯商业秘密;不得非法获取国家秘密;不得侵犯公民个人信息。
  3. 不能对公司现有系统造成损害,以此来窃取公司商业机密

话术

发起钓鱼邮件测试后,会收到员工的上报,我们需要统一话术,避免提前露馅,如“感谢您的反馈,我们先确认下该邮件是否为钓鱼邮件,确认前请不要做任何操作,确认后会第一时间通知您,谢谢。”

追踪与统计

  • 点击人数
  • 报告钓鱼邮件攻击的人数
  • 点击却未报告的人数
  • 点击并报告的人数
  • 未点击也未报告的人数
  • 未点击却报告的人数

以上数据可以在gophish上获取,重点关注点击率和上报率

开展培训

  • 对本次钓鱼邮件演练做复盘,展示上一步中的数据,对员工进行信息安全意识培训
  • 介绍常见的钓鱼邮件类型以及该如何防范,收到钓鱼邮件后上报的途径

参考链接

  1. 收到“来自自己”的敲诈邮件,请不要惊慌

    https://www.freebuf.com/articles/network/187522.html

  2. 邮件钓鱼平台搭建以及基础使用场景

    https://www.secpulse.com/archives/147030.html

  3. 红队行动之鱼叉攻击-研究分享

    https://payloads.online/archivers/2020-02-05/1

  4. 社工之-钓鱼邮件的编写思路

    https://www.t00ls.net/viewthread.php?tid=54644

  5. 记一次真实的邮件钓鱼演练

    https://xz.aliyun.com/t/5412

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/Li_阴宅/article/detail/880803
推荐阅读
相关标签
  

闽ICP备14008679号