天翼云安全实验室 |
您所在的位置:网站首页 › 钓鱼的小程序 › 天翼云安全实验室 |
前言 近期钓⻥邮件攻击事件频发,前不久搜狐大量员工遭邮件诈骗,工资卡余额被划走。天翼云公司对钓鱼邮件攻击高度重视,除日常应对外部组织大量攻击外,还经常发起电信集团内部的演练,配以员⼯安全意识培训等手段,预防钓⻥邮件造成的危害。今天,笔者将随机选择一封钓鱼邮件进行技术性溯源,看看这封钓鱼邮件来⾃内部演习还是外部攻击,并总结一些日常预防钓鱼邮件的小方法,分享给大家。 安全研究人员从邮件中把附件临时人员xxx.zip下载下来。直接打开当然是不行的,就算这个文件以zip结尾。所以首先要判断一下这是个什么文件,使用file命令查看一下: 确实是个ZIP文件,文件内容是以PK开头,就算后缀被改成exe也执行不了,至少操作系统不会认为这是个可执行文件。 这个ZIP中包含了以exe结尾,但命名中包含docx字段用于迷惑的一个文件。双重确认直接就可以对该文件进行解压了,居然还有解压密码,大概是为了通过加密机制绕过邮件的木马扫描机制。解压得到了一个exe文件,其文件名是关于调整薪资结构及发放方式的通知.docx .exe,中间带了一段空格,方便分析起见,把文件名修改成fish.exe吧。至于可执行文件的静态动态分析,就直接扔到微步云沙箱上就行了。经过微步平台一段时间的运行和分析,发现该可执行文件在执行的过程中会对一个外部IP发起网络连接: 首先使用Archon对该IP的开放端口进行扫描,可以见到该IP开启了许多端口。 在渗透上的失利,转而在其他方面寻找突破。发现钓鱼邮件的发件人是个QQ邮箱,邮箱名对应的就是QQ号,所以虽然希望不大,但也值得一试。经发件邮箱QQ号进行定位,后在某搜索引擎搜索该QQ号,确定IP属地及某兴趣贴吧,分析贴吧用户信息后和QQ号信息吻合。再使用其他搜索引擎进行信息补充地搜索,发现一条网站线索,竟是博客网站,通过网站内容也可以将与攻击者的信息关联上,确定是同一组织或个人所为。最后发现该网站还做了备案,通过备案最终确认了攻击者的信息。 后记天翼云安全实验室提醒广大读者,谨防钓鱼邮件攻击,在收到邮件时,一定要仔细看邮件的发件人邮箱等信息,对于有附件的邮件,一定要使用杀毒软件对该附件进行扫描,有条件的还应该即时咨询网络管理员,以确保邮件的真实性。 |
今日新闻 |
推荐新闻 |
CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3 |