钓鱼攻击及应急示例

钓鱼攻击是一种常见的网络攻击手段，攻击者通过伪装成合法的网站、邮件或信息，诱骗用户提供敏感信息，如用户名、密码、银行卡号等，从而达到非法获取用户数据或进行欺诈的目的。

如何判断钓鱼邮件

1. 检查发件人信息，是否是伪造信息（查看姓名、域名、邮箱后缀名），主要查看是否是大小写混杂，含有特殊符号，ps：政府单位，大型企业邮箱是公开的，收到邮箱要对照
2. 检查邮件内容，是否使用紧急性语言，或者含有诱导性，威胁性信息，并且附带超链接、附件
3. 查看链接拼写，是否有拼写错误或者大小写等混淆内容，是不是采用了短链接，可以自己输入链接内容进行跳转，使用Whois查询域名，看网站备案信息是否安全使用微步云沙箱对链接、文件进行扫描。
4. 查看附件名称，查看后缀名是否有执行性功能，小心宏攻击
   （宏攻击是一种利用宏功能（通常是Excel、Word等办公软件中的自动化脚本）来执行恶意操作的网络攻击。攻击者通过在文件中嵌入恶意宏代码，诱使受害者打开文件并启用宏，从而触发恶意代码执行。这种攻击方式常常被用于传播病毒、勒索软件或窃取敏感信息。）

遇害后应急处置

1. 隔离受害主机，降低受害面，如果业务允许断网则断网
2. 查看邮件原文内容（地址，链接）什么链接，询问客户做了什么事情
3. 检查日志
4. 全盘查杀
5. 溯源反制——邮件信息进行反制

如何防范

1. 对重要邮件归档，对来历不明或索要信息的邮件保持警惕性，对陌生人邮件不予相应
2. 部署安全设备，安装杀毒软件，安装反病毒软件并更新特征库（如检测恶意附件）
3. 手动输入官网地址或通过官方APP/电话确认邮件内容
4. 使用多重身份认证，如邮箱绑定手机，即使密码泄露攻击者也无法登录账户

示例说明

事件：当时我通过深信服终端安全软件aES监测到一封疑似钓鱼邮件，攻击者伪装成公司行政部门发放"内部员工福利发放通知"，邮件声称需扫描二维码领取福利，并设置“剩余2小时失效”。立即联系相关员工并发出风险告警，但该员工在预警前已扫描了二维码。
分析：员工当时对二维码进行扫码登录发现二维码链接指向攻击者伪装成企业官网搭建的钓鱼网站，页面要求输入账号密码进行福利领取，并且域名并未使用企业官方地址，并且页面缺乏HTTPS加密证书。员工扫码后浏览正常页面时常出现系统卡顿，并且频繁弹出赌博/色情小广告，短时间内网络流量大量激增。
应急处置：对受害机断网或者拔网线进行断网隔离，防止病毒扩散，对来历不明的邮件附件进行限制，之后使用火绒工具等进行查杀，发现是挖矿病毒，并且检测到木马的程序，发现攻击者通过员工扫描二维码提交自己邮箱账号密码后，诱导下载了“福利申领工具.exe文件”，利用沙箱检测该附件时，发现该文件通过powershell内存加载恶意文件攻击并且连接了C2服务器下载了挖矿程序和内网渗透工具包（如Mimikatz、Cobalt Strike），内网渗透和权限提升：利用员工输入的邮箱密码尝试登陆了企业的VPN系统获得了内网服务器的控制权，并利用永恒之蓝漏洞攻击员工的windows服务器，部署了挖矿程序，之后创建了计划任务定期从C2服务器更新挖矿配置。应急处置就是利用Autoruns排查了启动项，禁用可疑项。使用EDR工具（如CrowdStrike）监控PowerShell内存加载行为。删除临时文件（%temp%、C:\Windows\Temp），并且打开任务管理器进行高CPU/内存占用的陌生程序的终止。并且对密码进行更改，关闭IPC$的共享，关闭了一些高危端口如3389/445端口，并且利用ADWCleaner清除了广告软件，更改密码，要求员工启用MFA多因素认证，部署发件人策略框架（SPF）+ DMARC，标记并隔离伪造域名的邮件，启用邮件网关的URL重写功能，将二维码链接替换为安全代理检测后的地址。不定期对员工进行模拟钓鱼测试，提高员工对钓鱼邮件的防范意识。