当蓝军防守时
黑客的攻击手段层出不穷,直接导致蓝队难以全面开展安全防护工作。以本次活动为例钓鱼邮件一般特征包括,进行到一半,红队攻击者首先从传统的中心化互联网攻击过渡到军备竞赛(XDay),社会工程、网络钓鱼等攻击也随即浮出水面,夹杂着一些基于现场的攻击攻击目标的WiFi和物理终端,基于人的心理的攻击,以及一些不合规的攻击方式可能会在下半年出现,使本次事件的攻击水平上升到一个新的高度。
本文重点介绍如何快速识别钓鱼邮件,希望能给蓝队防御者带来一些帮助。
传统的网络钓鱼邮件一般分为鱼叉式网络钓鱼攻击和水坑式攻击。这些名词大家都很熟悉钓鱼邮件一般特征包括,但如果这些电影中活跃的名词真的出现在现实生活中,普通的辩护人就很难辨认了。即使是专业的安全人员在检测网络钓鱼邮件时也有一些未遂事件。
01
网络钓鱼邮件的操作
钓鱼邮件为了达到其目的,一般有以下四种动作:
1.需要点击安装文件:
目的是在用户点击安装后向远程控制机器弹回一个shell。这些文件经常做各种杀毒厂商的杀毒工作,杀毒软件一般很难识别。伪装文件一般分为以下几类:
一个。伪装成正常程序安装,内嵌恶意C2代码
b.伪装成一些敏感的企业文件,如财务文件、整改通知书、行政处罚通知书、一些常用软件(Office、IE等)中伴有溢出漏洞的恶意代码。
c。通过超长用户名将exe等恶意后缀隐藏在不显眼的地方。
d。伪装成挖矿病毒和勒索软件,两者的本质都是为了实现远程控制。
等一下
2.需要登录页面(输入帐号和密码):
目的是获取一些敏感用户的密码,或者密码习惯。
