攻防演练之-成功的钓鱼邮件溯源

2024-06-14 20:12

本文主要是介绍攻防演练之-成功的钓鱼邮件溯源,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

书接上文,《网络安全攻防演练风云》专栏之攻防演练之-网络安全产品大巡礼二,这里。

演练第一天并没有太大的波澜,白天的时间过得很快。夜色降临,攻防演练中心内的灯光依旧明亮。对于网络安全团队来说,夜晚和白天并没有什么区别,攻击队的攻击从不分昼夜。

夜班的安排

由于攻防演练需要7*24小时的值守,因此每天的晚上必须安排人员进行值守,Nick在下班前将大家聚集了起来,谈论值守安排。

“各位,接下来是演练期间的夜间值守安排,”Nick在平静的说到。他的声音平稳而有力,显示出作为领导者的果断。“每晚需要两个人值守,确保我们能够及时应对任何突发情况。根据以往的经验,夜间的工作会相对的轻松。”

小白坐站在一个不起眼的角落,虽然他团队中的拼角,但他知道,作为团队里地位最低的成员,他将承担更多的夜间值守任务。

“首先,小白,你的值守安排是最多的,年轻人熬夜应该不成问题”,Nick看向小白,语气中带着一丝歉意,但更多的是理所当然的安排。

“没问题,Nick总,我可以的”,小白点点头,他早已做好心理准备。

“接下来,王工和我们团队的成员,每个人值守三个晚上。刘总,亮哥,你们三个人每人也值守一个晚上”,Nick继续安排道。

王工微微皱眉,但还是点了点头。他长期驻场,对甲方的环境非常熟悉,知道值守的必要性。虽然心中不情愿,但是没啥地位的他,他还是选择了服从安排。

亮哥则明显有些不悦,他们本身的目标和安服并不一致,何况对于他们这些职场老油条来说,熬夜值守无疑是最不愿意接受的任务。但是为了安服能够说几句产品的好话,他们也只能无奈接受。“好的,我们做好准备”,亮哥则说到,他知道在这样的团队中,有些事情是无法避免的。

“明白了,Nick”,刘总勉强一笑,内心却在盘算如何在这次演练中尽量减少自己的工作量。

安排结束后,团队成员们陆续离开,小白和Nick留下来继续熟悉夜间值守的流程。Nick走过来拍了拍他的肩膀,“小白,我知道这对你来说不容易,但是对于我们做安服的人来说,加班已经习以为常,将来你走进职场就会明白”。

“谢谢Nick总,我一定会努力的”,小白回应道。

值守的第一晚,小白和Nick一起值守。Nick虽然态度平静,但也不时露出倦意。

“小白,你觉得这种值守安排合理吗?”,Nick问道。

“合理不合理,不是我能决定的。”小白笑了笑,“不过,既然安排了,我就尽力做好吧。”

Nick没有做声,护网第一晚很平静,相安无事。

夜间值守的第二晚,小白和王工一起值守。王工坐在监控前,和小白一样,专心的处理一些日常的监控工作。

“王工,这种夜间值守的安排你觉得怎么样?”,小白小心翼翼地问道。

王工叹了口气,“其实,对我们这些老家伙来说,熬夜确实不容易。不过,安全工作需要人来做,年轻人多承担一些也是应该的。”

“我理解,”小白点点头,“不过,作为新手,我觉得这是一个很好的学习机会。”

“你这么想就对了”,王工笑了笑,“多学点东西,对你未来的发展有好处”。

值守的第三晚,小白和刘总一起值守。刘总明显不如王工那般专注,他不断走出演练大厅,似乎在期待时间快点过去。

“小白,你真能熬啊,年轻就是好”,刘总打了个哈欠说道。

“刘总,熬夜对我来说还好,主要是觉得能学到很多东西”,小白说道。

“是啊,年轻人有干劲是好事。不过你也要注意身体,别太拼了。”,刘总显得有些敷衍。

在这里插入图片描述

钓鱼邮件的发现

自从Nick交代小白每天盯紧邮件网关之后,作为学生的小白,十分的负责和兴奋。于是,他每天都特别留意那些被邮件网关判定为可疑或恶意的电子邮件。

由于小白白天在酒店休息,多数的工作时间是在晚上。每天晚上交班之后,小白都会第一时间打开电脑,进入邮件网关的监控界面,查看最新的可疑和恶意的邮件。他对需要二次判断的邮件的内容、发送者的IP地址、邮件头信息等都一一记录在案,并将这些信息汇总给Nick。

在这段时间里,小白连续向Nick报告了多次针对甲方的网络钓鱼活动,Nick对小白进行了鼓励。但他也告诉了小白,单靠邮件网关提供的信息还不够,要想形成有效的溯源报告,需要更多的情报和更深入的分析,当然有的时候是需要运气的。之前小白报告的诸多钓鱼邮件由于团队内部无法给出完整的攻击链,因此都被放弃继续分析。

尽管如此,小白并没有气馁。他每天依旧认真地盯着邮件网关,仔细观察每一封可疑邮件,试图发现有价值的内容。

演练活动进行到第三天,小白按照前几天的流程,把一封发送者伪装成甲方的合作伙伴,内容是要求接收者点击一个链接和附件,并填写身份信息的邮件的详细信息报告给了Nick,Nick照例组织团队进行分析。

深入溯源的过程

按照攻防演练规则的要求以及之前的经验,针对钓鱼邮件的攻击手段,需要能够给出邮件发送者相关信息的证据,收集邮件的目的是什么,才能被判定为有效的溯源报告。

“这个邮件服务器的IP地址是一台境外的云主机,最近被VT标记成为垃圾邮件。”

Brain是整个安服团队里面比较特别的一个,他之前有过红队的经历,今年开始从事蓝队的工作,因此在团队中他是最擅长从红队角度进行分析,因此团队中的反制工作往往是由他亲自操刀。因此溯源攻击者的工作,Nick便将工作交给了他。关于钓鱼连接和样本的分析工作,Nick则是将其交给了团队中一名擅长逆向工作的小志。

WEB邮箱,以及邮件服务器这些互联网的攻击面对于Brain来说,属于家常便饭。在Brain多年娴熟技巧的加持下,经过一个上午的努力,Brain成功在邮件服务器上找到了发送者的相关的操作记录。根据相关的日志记录,Brain能够确定的是实际的threat actor通过控制互联网一个邮箱服务器发送钓鱼邮件。但是是谁操控者这台服务器,短时间内无法对于邮件服务器进行全面的取证分析。Brain深知有些操作点到为止即可,因此他放弃了继续深入追踪的想法,转而整理分析思路进行归档。

另一边,小志也在对邮件的样本进行动态和静态的分析,沙箱报告显示,这些钓鱼链接均指向境外的非营利性网站。同时沙箱的样本报告也显示,样本在后台运行后,会启动定时任务,但是沙箱报告并没有显示网络连接的行为。为了进一步分析样本中其他的IOC,小志在小白等人惊讶的目光中炫耀了一把软件调式的艺术。代码显示该样本会在计算机重启之后收集本地的credential发向境外的不同地址。经过小志的一番骚操作之后,证明了URL和样本的目的是收集用户名和密码,并发送至控制的傀儡机。由于Nick深知对于傀儡机的取证也是吃力不讨好的,因此放弃了进一步的溯源,因此他们针对钓鱼邮件的溯源工作就此为止。

形成溯源报告

在基本搞清楚整个的来龙去脉之后,Nick便要求团队内唯一的女士小美按照Brain和小志的分析结果快速的出具溯源报告。小美是团队内非常重要的一名角色,主要负责溯源报告的输出以及团队的后勤工作。

在Nick的带领下,小美迅速整理了所有的溯源信息,形成了一份详细的溯源报告。报告不仅详细描述了攻击过程,还分析了攻击者的动机和可能的下一步行动。

“这份报告很全面。”Nick满意地点点头,“我们马上提交给裁判组。”

不久后,裁判组的反馈传来,他们对这份溯源报告给予了通过,认为这是一次有效的溯源。小白和他的团队成员们都非常兴奋,这是目前甲方第一份有效的溯源报告,为甲方取得开门红,也让他们对接下来的演练充满了信心。

“干得漂亮!”,Nick拍了拍小白的肩膀,“这次是一个好的开始,接下来我们要再接再厉,争取更多的输出。”

小白点点头,他深知这只是开始,接下来还有更多的挑战等着他们。但他对自己的团队充满信心,他相信只要大家齐心协力,一定能在这次演练中取得更多的成功。通过这次钓鱼溯源的成功,小白对演练工作蓝方的工作内容心中也有了底,小白对网络安全工作的理解也更加深入。他明白了溯源不仅仅是技术手段的运用,更是对细节的关注和对信息的综合分析。

在接下来的几天里,小白和他的团队继续保持高强度的工作,不断分析和处理各种可疑邮件和安全事件。他每天都在不断学习和进步,逐渐掌握了更多的技术和方法。

由于溯源的成功,Nick安排小美给大家每人点了一杯瑞幸咖啡,大家都非常的开心。

本故事中人物角色和故事情节纯属虚构,如有雷同,纯属巧合。

本文为CSDN村中少年原创文章,未经允许不得转载,博主链接这里。

这篇关于攻防演练之-成功的钓鱼邮件溯源的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/1061397

相关文章

Java使用Mail构建邮件功能的完整指南

《Java使用Mail构建邮件功能的完整指南》JavaMailAPI是一个功能强大的工具,它可以帮助开发者轻松实现邮件的发送与接收功能,本文将介绍如何使用JavaMail发送和接收邮件,希望对大家有所... 目录1、简述2、主要特点3、发送样例3.1 发送纯文本邮件3.2 发送 html 邮件3.3 发送带

Windows server服务器使用blat命令行发送邮件

《Windowsserver服务器使用blat命令行发送邮件》在linux平台的命令行下可以使用mail命令来发送邮件,windows平台没有内置的命令,但可以使用开源的blat,其官方主页为ht... 目录下载blatBAT命令行示例备注总结在linux平台的命令行下可以使用mail命令来发送邮件,Win

使用Java发送邮件到QQ邮箱的完整指南

《使用Java发送邮件到QQ邮箱的完整指南》在现代软件开发中,邮件发送功能是一个常见的需求,无论是用户注册验证、密码重置,还是系统通知,邮件都是一种重要的通信方式,本文将详细介绍如何使用Java编写程... 目录引言1. 准备工作1.1 获取QQ邮箱的SMTP授权码1.2 添加JavaMail依赖2. 实现

Java中使用Java Mail实现邮件服务功能示例

《Java中使用JavaMail实现邮件服务功能示例》:本文主要介绍Java中使用JavaMail实现邮件服务功能的相关资料,文章还提供了一个发送邮件的示例代码,包括创建参数类、邮件类和执行结... 目录前言一、历史背景二编程、pom依赖三、API说明(一)Session (会话)(二)Message编程客

mysql外键创建不成功/失效如何处理

《mysql外键创建不成功/失效如何处理》文章介绍了在MySQL5.5.40版本中,创建带有外键约束的`stu`和`grade`表时遇到的问题,发现`grade`表的`id`字段没有随着`studen... 当前mysql版本:SELECT VERSION();结果为:5.5.40。在复习mysql外键约

Python手搓邮件发送客户端

《Python手搓邮件发送客户端》这篇文章主要为大家详细介绍了如何使用Python手搓邮件发送客户端,支持发送邮件,附件,定时发送以及个性化邮件正文,感兴趣的可以了解下... 目录1. 简介2.主要功能2.1.邮件发送功能2.2.个性签名功能2.3.定时发送功能2. 4.附件管理2.5.配置加载功能2.6.

解决Cron定时任务中Pytest脚本无法发送邮件的问题

《解决Cron定时任务中Pytest脚本无法发送邮件的问题》文章探讨解决在Cron定时任务中运行Pytest脚本时邮件发送失败的问题,先优化环境变量,再检查Pytest邮件配置,接着配置文件确保SMT... 目录引言1. 环境变量优化:确保Cron任务可以正确执行解决方案:1.1. 创建一个脚本1.2. 修

Django中使用SMTP实现邮件发送功能

《Django中使用SMTP实现邮件发送功能》在Django中使用SMTP发送邮件是一个常见的需求,通常用于发送用户注册确认邮件、密码重置邮件等,下面我们来看看如何在Django中配置S... 目录1. 配置 Django 项目以使用 SMTP2. 创建 Django 应用3. 添加应用到项目设置4. 创建

我成功在本地打开了Cesium啦!

1首先下载Node.js,我是跟着这篇下载的,https://zhuanlan.zhihu.com/p/77594251,不过这后面的我没弄对Cesium环境配置也没影响。 另外:我看其他推文说,在终端写node -v和npm-v查node和npm的版本可以检测node和npm是否下载成功。 2然后我在CesiumB站官号看的教学视频,跟着下载Cesium源代码。 Cesium基础入门1-零

深入剖析 Redis 基础及其在 Java 应用中的实战演练

引言 在现代分布式系统和高并发应用中,缓存系统是不可或缺的一环,而 Redis 作为一种高性能的内存数据存储以其丰富的数据结构和快速的读写性能,成为了众多开发者的首选。本篇博客将详细介绍 Redis 的基础知识,并通过 Java 代码演示其在实际项目中的应用。 目录 什么是 Redis?Redis 数据结构详解Redis 与其他 NoSQL 数据库的对比在 Java 中使用 Redis 使用