聊聊護網中常見釣魚攻擊思路

每日一句：
		HW中，紅隊、藍隊都會很累。
		沒有說哪個會更強一些，畢竟道高一尺魔高一丈。
           

一、網絡釣魚

01.一些簡介
		~釣魚屬于社會工程學
		
		~在18年的紅藍對抗還不怎麼常見，
		
		~在19年的時候就比較泛濫了

02.為什麼會被釣魚

		~因為好奇或者興趣，随意打開廣告或未知郵件中的連結
		
		~使用私人郵箱發送或者接受帶有敏感資訊檔案的郵件
		
		~從來不重新開機或關閉計算機，導緻系統更新檔無法成功安裝
			（特别是一些機關上司，他們的關機就是将顯示屏合上）

03.釣魚郵件攻擊方式

		~郵件正文插入釣魚連結		
				~目前較為少見
				
		~郵件附件藏毒				
				~目前較為多見
				
				~一般都會打一個壓縮包，目前是為了 繞過殺軟的檢測
				
				~特别的會在壓縮包上加一些密碼（一些好點的沙箱會自動解壓清除）
				
		~發件人身份僞造
				~對一些安全意識薄弱的人員殺傷力極高
						在18年左右有真實案例，因為某些原因不在深入說明
					
				~且因為釣魚這種攻擊手法與正常不同，可能某些機關絕大多數的安全意識都很好
					但是，隻要有一個人安全意識薄弱，中招了，整個機關基本上可以直接出局了
					對于很多的成功，往往隻需要一個突破口。
		
04.案例（2020年的，不放圖了）
	
	~常見01
			關于護網演習的緊急通知

			收件人: xxxxxxxxxxx

			根據集團資訊中心安全處下發關于開展内部網絡安全攻防演習的通知和集團公 司資訊中心安全處關于開展内部網絡安全攻防演練的工作布置，院内将在6月xx日-6月xx日進行攻防演練。
			
			請各事業部做好如下準備工作:
			
			1.杜絕機兩網和非法外聯， 確定終端防病毒軟體全覆寫。
			2.杜絕弱密碼、預設密碼。組織修改作業系統、中間件、業務系統、OA、郵件、中間件、資料庫、存在的預設密碼、弱密碼、空密碼，删除無效賬号或過期賬号。禁止将密碼明文存儲于計算機内或張貼在顯示器、辦公桌等區域。
			3.修複安全漏洞。組織修複網際網路漏洞服務平台前期暴露出的中高危漏洞。
			4.網際網路資産整治。對于開放到網際網路的服務端口進行梳理，關閉非必要端口。
			5.關閉網際網路應用的服務管理背景，檢查web管理背景是否可以通過網際網路通路。禁止從網際網路任意位址通路web管理背景或網絡、安全裝置管理界面。6.加強無線網絡安全管理。務必修改無線網預設密碼。
			7. 敏感資訊管理。禁止在網際網路釋出和存儲網絡拓撲、系統源代碼、賬戶密碼、VPN賬戶密碼等敏感資訊。
			8.提高安全意識，在攻防演練期間不随意打開陌生可疑郵件及附件，不向身份不明人員提供系統賬号密碼，不允許無關人員進入辦公場地。
			9.加強溝通和協調，如有出現異常情況第一時間上報。


			附件為更新檔檢測工具和使用說明，請按照附件使用步驟自行檢測:
			1.下載下傳附件YYY.exe. 該檔案為安全更新檔檢測工具，會對電腦已安裝的更新檔進行檢測，若存在安全問題會提示;否則，不會提示。2. 輕按兩下YYY.exe運作即可。
			若有其他問題可随時與資訊中心安全處聯系。
			
			附件：YYY.exe
			
	~常見02
			Sent: 2020-xx-xx xx:xx
			Subject: WPS Office更新檔 緊急! ! !

			HW2019期間部署的測試版安全WPS存在漏洞，為避免安全隐患，請下載下傳WPS Office更新檔。

			安裝方法:
			下載下傳檔案WPS_ Office更新檔 rar解壓後直接點選執行會提示選擇預設WPS安裝目錄，選擇目錄後直接點選鍵補J即可完成更新檔安裝。
			本次更新檔主要針對windows64位作業系統，有問題請聯系。如不及時打更新檔，觸發漏洞會關聯績效
			注意事項:請右鍵以管理者權限運作，否則程式可能會閃退。


			附件：WPS Office更新檔.rar
			
			pass:
			這種殺傷力較大的地方就在于：
					~“如不及時打更新檔，觸發漏洞會關聯績效”
					~這個發件人的郵箱來源是admin.xxx.com.cn（比較真實，且結文是“com.cn”）
					~這個郵箱發送的人非常的多，300+人  且都是一些資訊化建設及其關鍵崗位的人
					~對目标資訊充分了解，目标企業在19年就是部署了一個WPS（定制版），正常的更新就是通過這種打更新檔的方式進行
				
				
					綜合來說，這個郵件的成功率是這幾個裡最高的，木馬本身比較簡單，但是這個攻擊手法前前後後花費卻不少。
	
	~蹭熱度
			發件人：	HR＠xxx.com.cm
			
			2020年6月xx日xx:xx

			關于近期新發地疫情的通知收件人: [email protected]

			北京近日連續爆發确診病例和核酸檢測陽性案例，都與新發地批發市場關聯，新增新冠肺炎确診病例均有新發地活動史。
			
			接上級要求，個人或同住家屬在2020年5月xx日(含) 以後去過新發地市場，京深海鮮市場，近期有出現出現發熱咳嗽的情況，請如實主動地向社群或機關報告，主動前往相關機構或在社群安排的地點進行核算篩查，做好個人健康監測。
			
			為了大家的健康安全，我機關現對公司人員進行近日出行情況統計，請大家如實填寫，對于謊報瞞報的要嚴格追究法律責任。對14天内到過新發地人員統一進行核酸檢測， 請填寫附件表格并通過填報系統送出表格。

			附件XXXX-19.zip即為填報表格，下載下傳解壓填報送出即可。

			附件：XXXX-19.zip
				
			pass:
				壓縮包内，(x1.xlsx、x2.docx、填報系統.exe）
				像x1與x2都是正常的檔案，但是這個exe正常人都應該懷疑一下吧
	
	~03利用特殊手法（這裡以word舉例）
			場景：
				下載下傳一個壓縮包（xxx黨風建設...與wwlib.dll）
			
			正常攻擊：
				輕按兩下xxx黨風建設，一個東西一閃而過
				檔案夾内就剩一個xxx黨風建設.docx
				//此時已經完成攻擊，打開生成的xxx黨風建設.docx是正常内容
			
			原理：
				office在打開一些檔案前會加載一些庫檔案，
				這些檔案一般會存儲在C槽，但是若是有一些必要加載文檔在同檔案夾下的話
				office會優先加載這個同檔案夾下的配置檔案
				這個惡意配置檔案被加載的時候，即完成了攻擊
			
05.防禦手法
		
		~護網期間統一不适用郵箱發送exe檔案
		
		~不要随意打開“exe”，“bat”，“.vbs”或者不認識的其他字尾檔案（尤其是壓縮且帶有解壓密碼的）
		
		~注意郵箱有無細微差别，如：
				xxxx.com.cn（真實的）
				xxxx.com.cm（虛假的）
				
		~看看上級機關名稱，如：
				XXXX安全局管理處（真實的）
				XXXX安全中心處	（虛假的）
				
		~注意看看發件人，比如 HR＠xxx.com.cn，明顯的不正常
		
		~打開一些附件檔案前請務必先進性安全掃描
		
		~不要打開未知發件人的office檔案類型的郵件附件或者内部連結，要禁用宏
		
		~及時更新電腦系統和辦公軟體的安全更新檔，安裝防毒軟體
		
		~發現可疑郵件不要點選，不要打開，不要轉發，已經點選程式的立即斷網聯系本機關安全管理人員
				
		//這也同時要求紅方發送釣魚郵件的時候，要對目标進行充分的資訊收集
		//識破了對方的木馬情況下，要對木馬進行行為分析，尋找反擊機會也是挺有意思的事情

06.郵件頭分析

		~From、X-SENDER：發件人
		
		~To、X-FST-TO：收件人
		
		~X-SENDER-IP：發件IP
		
		~X-Mailer：異常特征			//一般有這個東西的都是釣魚郵件
           

二、威脅溯源

01.定義
	就是根據已經被攻擊的事件，找到這個攻擊者。

02.警惕
	一些幹紅隊的在HW期間進行的一些攻擊盡量不要帶有明顯的個人因素，
		如：
			
			常用代号記得換換，
			
			一些敏感資訊（微信号、QQ号不在公布在公網上）
		
			一些頭像啥的記得換換

03.注意

		~不放過任何蛛絲馬迹,尋找任何奇怪的地方。

		~以攻擊者的思路看待問題,思路走不通了去問問紅隊人員。

		~溯源要追溯到域名、郵箱、手機号、賬号等特定資訊。( 隻有一個IP說明不了什麼問題。)
		
		~應急處置跟溯源結合起來,要追溯到攻擊者的網際網路入口。

		~反向資訊收集(QQ、微信、支付寶、郵箱、Github、 部落格、烏雲、個人網站、社工庫...)
		
		~攻擊者也是人---是人就會有破綻。