zoukankan      html  css  js  c++  java
  • 某大型网络安全活动中遇到的钓鱼邮件

    0x01 前言

     

     上个月参加了某大型网络安全活动,在活动期间,遇到了各种各样的钓鱼攻击,虽然技术性不高,正好自己也做个简单的回顾。钓鱼邮件主要是通过伪造,让你相信邮件中的内容,邮件可以携带文字、图片、网址、附件等多种信息媒介,结合社工手段可以对未经训练的人群进行恶意攻击。在高防护的企业目标上,钓鱼邮件是一个通过人的弱点,打开防护大门绝佳手段。遇到的钓鱼方式有以下几种:

    0x02 遇到的几种类型

        1.漏洞利用类

       一般是利用相关的文件类的漏洞,比较常见的漏洞如:CVE-2017-11882 (该漏洞主要是由于EQNEDT32.EXE进程在读入包含MathType的ole数据时,在拷贝公式字体名称时没有对名称长度进行校验,从而造成栈缓冲区溢出,可以造成命令执行。具体可参考https://www.anquanke.com/post/id/87311),一般是邮件中说明简单的情况,需要诱使收件人点击附件,触发恶意代码。一般的邮件形式如下:

     

     

     

    2. 伪造知名网站,一般是会以邮件管理者或者服务人员的名义发送邮件,诱使收件人进行升级或是密码修改之类等话术。

     

     

     

     

    这里打下来其中一台钓鱼邮件的网站,大致的代码如下:

     

     

     

     

    3. 伪造文件,远控类。一般伪造成PDF,word等文件,实际在运行的时候为exe文件(一般多为CS及msf的远控木马),点击之后进行远控。恶意文件一般为了绕过杀软,会进行免杀处理,甚至特意对压缩包设置密码。如下面形式:

     

     

    套路基本相同,就是诱骗点击执行相关的恶意远控木马,这里列举其中的一个例子:

     

    其附件伪装成pdf文档其实是exe可执行文件另外的几个图片其实是相关的dll文件里面的pdf运行后,会调用相关的dll,施行远控操作。

     

    利用IDA进行反汇编,对其进行分析

     

     

    首先拷贝文件夹下的 .jpg 文件到C:WindowsTemp文件夹下,并执行。

     

     

    其文件中QMIoc.dll为黑文件,其exe调用导出函数

     

     

    对其进行调试,shellcode远程连接VPS地址下载载荷,同时采用域前置技术,对攻击地址进行隐藏,增加了攻击的难度。

     

     

    4. 伪造文件,窃密类。把这类钓鱼单独列出来,这类木马更隐蔽,它不会对系统进行过多的操作,只会不断的监听及收集相关的敏感信息,定期上传到远端的服务器上,这类更多的是APT组织的常见操作。如这次遇到的是利用Agent Tesla恶意工具生成恶意钓鱼样本,并将exe文件伪装成其他类型的文件的钓鱼攻击。邮件如下:

     

     

     

    附件中包含经过伪装的恶意exe,该恶意程序属于为Agent tesla家族中的一种:

     

    样本基本信息:

     

    相关的危险行为:

    1. 调用powershell执行脚本

     

    2. 自我复制,并设置文件属性

     

     

    3. 设置计划任务

     

     

    4. 进行窃密行为

    窃取浏览器敏感信息

     

     

    窃取邮箱、浏览器等敏感信息

     

    恶意程序执行的进程树

     

     

    样本设置了反虚拟、反调试等设置,样本中的数据进行了加密,通过真实物理机上运行恶意样本,抓取了真实的物理机的通信流量。发现恶意样本定时向远端的ftp服务器上传数据。

     

    可以登录到其ftp,发现上面窃取了大量的个人信息

     

    进行键盘记录

     

    窃取浏览器的密码及cookie等信息

     

     

    0x03 防护手段

    在当前的网络安全的形式下,网站的防护越来严格,钓鱼攻击成为一种利用人的漏洞来攻破的高防护体系的有效方法,被越来越多的APT组织及红队攻防人员所使用。我把防御的手段也简单的归拢了一下:

    1. 还是增强人员的安全意识,人的漏洞还是需要人自己通过提升自己的安全等级来防护。

    2. 发件人进行检测。可以设置SPFDKIMDMARC

    其中SPF是一种以IP地址认证电子邮件发件人身份的技术。接收邮件方会首先检查域名的SPF记录,来确定发件人的IP地址是否被包含在SPF记录里面。

    DKIM域名密钥识别邮件标准DKIM 的基本工作原理同样是基于传统的密钥认证方式,他会产生两组钥匙,公钥(public key)和私钥(private key),公钥将会存放在 DNS 中,而私钥会存放在寄信服务器中。数字签名会自动产生,并依附在邮件头中,发送到寄信者的服务器里。公钥则放在DNS服务器上,供自动获得。收信的服务器,将会收到夹带在邮件头中的签名和在DNS上自己获取公钥,然后进行比对,比较寄信者的域名是否合法,如果不合法,则判定为垃圾邮件。

    DMARC协议基于现有的DKIMSPF两大主流电子邮件安全协议,由Mail Sender方(域名拥有者Domain Owner)在DNS里声明自己采用该协议。当Mail Receiver方(其MTA需支持DMARC协议)收到该域发送过来的邮件时,则进行DMARC校验,若校验失败还需发送一封report到指定URI(常是一个邮箱地址)。

    3. 内容检测基于邮件的内容进行检测,检测内容中是否包含常用的钓鱼邮件关键字及恶意链接。

    4. 威胁情报基于威胁情报,对钓鱼邮件的IP及域名进行检测。

     

    5. 邮件附件检测对于邮件中的附件进行沙箱检测。

     

     

  • 相关阅读:
    golang 数据结构 优先队列(堆)
    leetcode刷题笔记5210题 球会落何处
    leetcode刷题笔记5638题 吃苹果的最大数目
    leetcode刷题笔记5637题 判断字符串的两半是否相似
    剑指 Offer 28. 对称的二叉树
    剑指 Offer 27. 二叉树的镜像
    剑指 Offer 26. 树的子结构
    剑指 Offer 25. 合并两个排序的链表
    剑指 Offer 24. 反转链表
    剑指 Offer 22. 链表中倒数第k个节点
  • 原文地址:https://www.cnblogs.com/A66666/p/14820280.html
Copyright © 2011-2022 走看看