攻防实战演习-钓鱼事件追踪溯源案例分享.pptxVIP

攻防实战演习-钓鱼事件追踪溯源案例分享目录CONTENTS01钓鱼事件案例分享02钓鱼的几种攻击方式03钓鱼文件的几种姿势一、攻击证据链发现关键要素：预警检测、研判寻找蛛丝马迹背景在兰州市HVV2022攻防演练防守期间10000多条日志400多条日志时间6月24下午14：30分左右7、8条日志起因每日在防护设备上的告警监控1条日志（CS通信达到480次）二、还原完整攻击路径-攻击初步预判关键要素：协同排查CobalStrike通信行为（480多次）?钓鱼邮件导致?钓鱼软件导致?主机已经被控三、还原完整攻击路径-查找受害者信息通过攻击目的地址WIFI自动分配地址受害者是谁？使用该地址的时间WIFI有身份认证功能关键要素：网络实名认证四、还原完整攻击路径-证实攻击者行为?攻击时间点?攻击源地址1旁敲侧击顺藤摸瓜知道了受害者，接下来的问题是如何让受害者回忆事件发生过程？2正确引导回忆线索向受害员工打电话沟通是否最近有陌生人给他发过邮件或者链接？3锁定证据深入分析通过在线查毒和在虚拟机运行分析，发现文件中包含的更多线索。社工话术重现：整个过程完全没有欺骗和诱导受害人上当的痕迹潜伏于QQ群很长一段时间;伪装系统使用人员请求协助的情况;钓鱼文件经过特殊技术加壳，躲过杀毒软件检查。四、还原完整攻击路径-证实攻击者行为关键要素：取证分析通过在虚拟机上执行文件，使用ProcessExplorer观察进程连接情况，发现了远程连接地址：42.193.39.49，与告警远控地址一致。43个杀毒引擎发现异常的只有3个，躲过了常见的杀毒引擎检测五、溯源攻击来源?找到攻击者身份有一定困难地址来源：42.193.39.49属于四川腾讯云的VPS谁购买了这台服务器?购买者身份属于个人敏感信息?商家为了保护消费者不公开五、攻击者画像关键要素：信息收集资产测绘攻击地址：42.193.39.49开放端口资产测绘绑定的域名提交防守报告域名所有者反查通过whois信息反查域名所有者兰州市HVV2022有失分情况，但成功溯源到了社工钓鱼攻击者，封堵了攻击IP地址，处置了被控制终端，遏制了攻击成果近一步扩大并提交了防守报告，挽回部分失分，最终得分91分。六、整个过程分析还原完整攻击路径1证据链发现攻击预判查找受害者23证实攻击行为溯源攻击者攻击者画像54检测设备对所有终端恶意行为的全覆盖检测掌握攻击类型的关键知识也是必不可少的溯源要素。管理部门牵头组织，技术部门专业人员配合；结合专业设备和工具达到有效分析结果。实名认证访问外网的IP；访问时间点日志记录；员工信息。社工的整个过程完全没有欺骗和诱导受害人上当的痕迹；钓鱼者整个对话过程完全符合一个系统使用人员请求协助的情况；该钓鱼者已经潜伏于QQ群很长一段时间，都是为此次钓鱼做准备；钓鱼文件大部分杀毒软件无法识别是钓鱼成功的关键。此阶段往往只能溯源到攻击源IP所用到的设备，通过资产测绘发现一些端口、应用等信息。近一步锁定攻击队人员还需要域名、QQ号、支付宝账号、微信号等信息、手机号等。这些信息属于个人敏感信息，获取存在一定困难。可以从IP地址绑定的域名，反查攻击者相关信息。域名会包含所属者姓名、甚至是电话、QQ、邮箱等信息。6目录CONTENTS01钓鱼事件案例分享02钓鱼的攻击几种方式03钓鱼文件的几种姿势七、钓鱼的几种方式（1/2）01电子邮件钓鱼04短信网络钓鱼02鱼叉式网络钓鱼03语音电话钓鱼电子邮件钓鱼又名欺骗性网络钓鱼，是最常见的网络钓鱼攻击之一。攻击者通常以知名企业或品牌的名义向潜在受害者发送电子邮件。鱼叉式网络钓鱼的特征是攻击者不会海量地向外发布钓鱼邮件，他们在钓鱼前会通过OSINT（开源情报）或其他违法途径收集受害者的信息，然后有针对性地向某一企业内指定的具体对象发送恶意邮件。例如，如果攻击者的目标是一家在线课程教育企业，那他们可能会对该企业的网站课程开发者发送针对性邮件。攻击者会利用受害者的电话号码直接与其沟通，他们通常会冒充政府部门、银行等合法机构的工作人员，通过播放自动语音消息或直接语音要求受害者采取行动（登录恶意系统、回复验证码等）的方式，诱骗受害者泄露敏感信息，而且这些攻击者往往会瞄准时机，在企业内部最忙、员工压力最大的时候拨打电话，受害者在高度的紧迫感下常常仓促行事，受到欺骗。短信网络钓鱼与语音电话钓鱼类似，但它是通过短信而非电话。与电子邮件网络钓鱼一样，攻击者会从看似明显合法的来源发送文字消息和链接，受害者点击后，其移动设备可能就会被恶意软件感染。其内容主题也以商品折扣、银行信息通知等为主，这是攻击者诱骗人们点击恶意链接常见伎俩。七、钓鱼的几种方式（2/2）06恶意孪生钓鱼07克隆网站钓鱼05域欺骗域欺骗实际上很难被发现，因为它比其他大多数网络钓鱼攻击更具技术含量。犯