本文主要是介绍攻防演练之-成功的钓鱼邮件溯源,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
书接上文,《网络安全攻防演练风云》专栏之攻防演练之-网络安全产品大巡礼二,这里。
演练第一天并没有太大的波澜,白天的时间过得很快。夜色降临,攻防演练中心内的灯光依旧明亮。对于网络安全团队来说,夜晚和白天并没有什么区别,攻击队的攻击从不分昼夜。
夜班的安排
由于攻防演练需要7*24小时的值守,因此每天的晚上必须安排人员进行值守,Nick在下班前将大家聚集了起来,谈论值守安排。
“各位,接下来是演练期间的夜间值守安排,”Nick在平静的说到。他的声音平稳而有力,显示出作为领导者的果断。“每晚需要两个人值守,确保我们能够及时应对任何突发情况。根据以往的经验,夜间的工作会相对的轻松。”
小白坐站在一个不起眼的角落,虽然他团队中的拼角,但他知道,作为团队里地位最低的成员,他将承担更多的夜间值守任务。
“首先,小白,你的值守安排是最多的,年轻人熬夜应该不成问题”,Nick看向小白,语气中带着一丝歉意,但更多的是理所当然的安排。
“没问题,Nick总,我可以的”,小白点点头,他早已做好心理准备。
“接下来,王工和我们团队的成员,每个人值守三个晚上。刘总,亮哥,你们三个人每人也值守一个晚上”,Nick继续安排道。
王工微微皱眉,但还是点了点头。他长期驻场,对甲方的环境非常熟悉,知道值守的必要性。虽然心中不情愿,但是没啥地位的他,他还是选择了服从安排。
亮哥则明显有些不悦,他们本身的目标和安服并不一致,何况对于他们这些职场老油条来说,熬夜值守无疑是最不愿意接受的任务。但是为了安服能够说几句产品的好话,他们也只能无奈接受。“好的,我们做好准备”,亮哥则说到,他知道在这样的团队中,有些事情是无法避免的。
“明白了,Nick”,刘总勉强一笑,内心却在盘算如何在这次演练中尽量减少自己的工作量。
安排结束后,团队成员们陆续离开,小白和Nick留下来继续熟悉夜间值守的流程。Nick走过来拍了拍他的肩膀,“小白,我知道这对你来说不容易,但是对于我们做安服的人来说,加班已经习以为常,将来你走进职场就会明白”。
“谢谢Nick总,我一定会努力的”,小白回应道。
值守的第一晚,小白和Nick一起值守。Nick虽然态度平静,但也不时露出倦意。
“小白,你觉得这种值守安排合理吗?”,Nick问道。
“合理不合理,不是我能决定的。”小白笑了笑,“不过,既然安排了,我就尽力做好吧。”
Nick没有做声,护网第一晚很平静,相安无事。
夜间值守的第二晚,小白和王工一起值守。王工坐在监控前,和小白一样,专心的处理一些日常的监控工作。
“王工,这种夜间值守的安排你觉得怎么样?”,小白小心翼翼地问道。
王工叹了口气,“其实,对我们这些老家伙来说,熬夜确实不容易。不过,安全工作需要人来做,年轻人多承担一些也是应该的。”
“我理解,”小白点点头,“不过,作为新手,我觉得这是一个很好的学习机会。”
“你这么想就对了”,王工笑了笑,“多学点东西,对你未来的发展有好处”。
值守的第三晚,小白和刘总一起值守。刘总明显不如王工那般专注,他不断走出演练大厅,似乎在期待时间快点过去。
“小白,你真能熬啊,年轻就是好”,刘总打了个哈欠说道。
“刘总,熬夜对我来说还好,主要是觉得能学到很多东西”,小白说道。
“是啊,年轻人有干劲是好事。不过你也要注意身体,别太拼了。”,刘总显得有些敷衍。
钓鱼邮件的发现
自从Nick交代小白每天盯紧邮件网关之后,作为学生的小白,十分的负责和兴奋。于是,他每天都特别留意那些被邮件网关判定为可疑或恶意的电子邮件。
由于小白白天在酒店休息,多数的工作时间是在晚上。每天晚上交班之后,小白都会第一时间打开电脑,进入邮件网关的监控界面,查看最新的可疑和恶意的邮件。他对需要二次判断的邮件的内容、发送者的IP地址、邮件头信息等都一一记录在案,并将这些信息汇总给Nick。
在这段时间里,小白连续向Nick报告了多次针对甲方的网络钓鱼活动,Nick对小白进行了鼓励。但他也告诉了小白,单靠邮件网关提供的信息还不够,要想形成有效的溯源报告,需要更多的情报和更深入的分析,当然有的时候是需要运气的。之前小白报告的诸多钓鱼邮件由于团队内部无法给出完整的攻击链,因此都被放弃继续分析。
尽管如此,小白并没有气馁。他每天依旧认真地盯着邮件网关,仔细观察每一封可疑邮件,试图发现有价值的内容。
演练活动进行到第三天,小白按照前几天的流程,把一封发送者伪装成甲方的合作伙伴,内容是要求接收者点击一个链接和附件,并填写身份信息的邮件的详细信息报告给了Nick,Nick照例组织团队进行分析。
深入溯源的过程
按照攻防演练规则的要求以及之前的经验,针对钓鱼邮件的攻击手段,需要能够给出邮件发送者相关信息的证据,收集邮件的目的是什么,才能被判定为有效的溯源报告。
“这个邮件服务器的IP地址是一台境外的云主机,最近被VT标记成为垃圾邮件。”
Brain是整个安服团队里面比较特别的一个,他之前有过红队的经历,今年开始从事蓝队的工作,因此在团队中他是最擅长从红队角度进行分析,因此团队中的反制工作往往是由他亲自操刀。因此溯源攻击者的工作,Nick便将工作交给了他。关于钓鱼连接和样本的分析工作,Nick则是将其交给了团队中一名擅长逆向工作的小志。
WEB邮箱,以及邮件服务器这些互联网的攻击面对于Brain来说,属于家常便饭。在Brain多年娴熟技巧的加持下,经过一个上午的努力,Brain成功在邮件服务器上找到了发送者的相关的操作记录。根据相关的日志记录,Brain能够确定的是实际的threat actor通过控制互联网一个邮箱服务器发送钓鱼邮件。但是是谁操控者这台服务器,短时间内无法对于邮件服务器进行全面的取证分析。Brain深知有些操作点到为止即可,因此他放弃了继续深入追踪的想法,转而整理分析思路进行归档。
另一边,小志也在对邮件的样本进行动态和静态的分析,沙箱报告显示,这些钓鱼链接均指向境外的非营利性网站。同时沙箱的样本报告也显示,样本在后台运行后,会启动定时任务,但是沙箱报告并没有显示网络连接的行为。为了进一步分析样本中其他的IOC,小志在小白等人惊讶的目光中炫耀了一把软件调式的艺术。代码显示该样本会在计算机重启之后收集本地的credential发向境外的不同地址。经过小志的一番骚操作之后,证明了URL和样本的目的是收集用户名和密码,并发送至控制的傀儡机。由于Nick深知对于傀儡机的取证也是吃力不讨好的,因此放弃了进一步的溯源,因此他们针对钓鱼邮件的溯源工作就此为止。
形成溯源报告
在基本搞清楚整个的来龙去脉之后,Nick便要求团队内唯一的女士小美按照Brain和小志的分析结果快速的出具溯源报告。小美是团队内非常重要的一名角色,主要负责溯源报告的输出以及团队的后勤工作。
在Nick的带领下,小美迅速整理了所有的溯源信息,形成了一份详细的溯源报告。报告不仅详细描述了攻击过程,还分析了攻击者的动机和可能的下一步行动。
“这份报告很全面。”Nick满意地点点头,“我们马上提交给裁判组。”
不久后,裁判组的反馈传来,他们对这份溯源报告给予了通过,认为这是一次有效的溯源。小白和他的团队成员们都非常兴奋,这是目前甲方第一份有效的溯源报告,为甲方取得开门红,也让他们对接下来的演练充满了信心。
“干得漂亮!”,Nick拍了拍小白的肩膀,“这次是一个好的开始,接下来我们要再接再厉,争取更多的输出。”
小白点点头,他深知这只是开始,接下来还有更多的挑战等着他们。但他对自己的团队充满信心,他相信只要大家齐心协力,一定能在这次演练中取得更多的成功。通过这次钓鱼溯源的成功,小白对演练工作蓝方的工作内容心中也有了底,小白对网络安全工作的理解也更加深入。他明白了溯源不仅仅是技术手段的运用,更是对细节的关注和对信息的综合分析。
在接下来的几天里,小白和他的团队继续保持高强度的工作,不断分析和处理各种可疑邮件和安全事件。他每天都在不断学习和进步,逐渐掌握了更多的技术和方法。
由于溯源的成功,Nick安排小美给大家每人点了一杯瑞幸咖啡,大家都非常的开心。
本故事中人物角色和故事情节纯属虚构,如有雷同,纯属巧合。
本文为CSDN村中少年原创文章,未经允许不得转载,博主链接这里。
这篇关于攻防演练之-成功的钓鱼邮件溯源的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!
