在众多攻击手法中,钓鱼攻击凭借其“成本低、范围广、高隐蔽”的特点被广泛运用,针对企业的钓鱼攻击也不在少数。HVV期间,钓鱼实战手法可能花样百出,比如在群内分享网安学习资料、利用企业邮箱发送内部邮件。
A1:
验证意识最好的办法,就是内部发起钓鱼,而且结合公司内部互动效果更好。
A2:
内部钓鱼我们一直有做,内容就是最常见的IT提醒你账号异常要登录OA修改,然后模仿OA首页弄一个钓鱼页面收集密码,根据我们近几次的数据看,入职安全意识培训前钓鱼的刨去不看邮件的,几乎100%中招。然而作为对照组,培训完之后钓鱼的也还有一半人会中招。
A3:
针对钓鱼的防御,不应只单单关注外来钓鱼手段何应对之策,而还应更关注钓鱼的对象--内部员工、供应商人员,不断加强、不断强调提高安全意识,双管齐下。
事先需要对全体员工进行教育,使其了解快速的反馈流程,加入现有的应急处置策略里面,已经识别钓鱼攻击发生,普通员工的快速反应能力,决定了能否快速约束其权限、通知扩散到全员,防止更大受害范围。
A4:
说到钓鱼场景,我这边处置过一次,以冒充老板名义让财务转钱,还有公共邮箱收到以离职人员背调名义,获取内部员工联系人信息。还有定向针对老领导卖酒的,大多是茅台。
A5:
看过有些厂商的邮件网关可以做疑似钓鱼邮件的智能分析,自己的话主要看好不好采这些附件或者发送文件的信息,再根据文件后缀、文件IOC、沙箱去分析,自己做的话工作量蛮大。
关于安全意识策略,一般是连环套,第一封是常规钓鱼,第二封是对第一封钓鱼的提示,一般第二封比较容易中招,也容易招人恨。
A6:
我们主要是监测单IP多邮箱登录,或者单邮箱多IP登录之类的场景,然后发告警,结合密码强度策略控制。
Q:那对于HVV期间的钓鱼邮件,在邮件网关或者邮件沙箱中可以定义哪些强化规则?
A1:
关于钓鱼邮件,用的是Office365,所以直接应用了微软预设的严格保护策略,然后我会每天看一下隔离邮件,研判一下是否要调整策略。
现在发现比较多的是针对外部暴露过邮箱的钓鱼,所以对于邮件组非必要不开启接收外部邮件功能,对外暴露尽量以邮件组为主。对于重要的用户进行重点策略的应用。
从上周开始模仿用户自己给自己发邮件的情况多了起来,所以在SPF和DKIM的前提下,也启用了DMARC。然后就是及时公告员工,关键还是自己有防范意识。
A2:
期待有利用大数据、机器学习、深度学习的钓鱼邮件分析技术,能够从邮件发送目标、频率、内容、范围这些特征里提取出风险邮件做拦截。
A3:
有AI自动识别就有AI对抗的出现。
A4:
我们用的某品牌邮件网关,没有做到期待的效果,有碰到用户的发件明显不同于以往特征,对象和数量都非常异常,网关也拦截不了,能做到像业务风控那种就好了。
A5:
一般都是积累邮件标题跟内容,把热门钓鱼邮件的那些文本都加进去,可以拦不少,一些厂商的邮件网关会省心点。
A6:
关于钓鱼邮件,借鉴某集团和我们甲方群某大佬的SOAR平台,对邮件所有包含URL域名进行沙箱检测、外部情报识别,自动化处理是最好的方案,意识培训有用,但事实上用处不算大,尤其在现在的各种专门设定的场景下。
Q:相对于事前防御,如果钓鱼攻击事件已经发生,处于事中或事后阶段,比如攻击方通过钓鱼已经拿到企业内部某高权重账号,可以有哪些措施进行补救?
A1:
关于补救措施,我觉得还是账号权限最小化,高权重账号,要不就别用一套认证了,另外加强MFA的应用。
A2:
封禁账号,各个系统登录情况确认(集中日志比较好排查),机器的东西向流量,可能影响评估,对攻击方使用URL、发件源IP、文件马的倒查溯源,邮件封禁策略更新,防火墙封禁策略更新。
A1:
说实话,都是反钓鱼,看缘分。我们三次反制成功,两次都是攻击队领队中招,队员只有一次。
A2:
威胁情报查一下IP,运气好,对方不会藏,直接查到以前实名申请的域名。跳板代理的除非打下来,否则查不到的。
A3:
溯源靠蜜罐的时代已经过去了,可以分享个HVV期间的逮人小技巧。现在攻击队用的环境都很干净,我们曾经用桌管反制过诈骗犯。之前有个骗子冒充高管要求转账,我们就说桌管是转账助手,那玩意直接拿系统最高权限还永久免杀。
A4:
不过,零信任包含桌管的话,也可以减少网络暴露。
A5:
钓鱼反制现在太难做了,一个是你最多钓一两个,人家团队可能十几个人;第二个是太干净了,啥信息都没有。
A6:
所以溯源,还有反溯源,大家都是这个行业,谁不知道谁呀,你不在官网上放几个公共邮箱,都不一定抓到钓鱼的邮件。
A7:
2019年、2020年蜜罐溯源各单位得分不少,现在攻击队们对渗透环境有标准化培训,就算踩到蜜罐或者反制木马也难以拿到太多有效信息。
对于溯源工作,要有一个清晰的定位:抓不到就算了,抓到一个就是出彩。我们在近两年和几家头部安全厂商的白帽子们做攻防演练,发现现阶段白帽子防反制意识比较弱的点是个人手机号。各类接码平台越来越少,无痕号码成本也越来越高。白帽子们对手机号注册还报有很大的侥幸心理。
因此可以在HVV开始前两周,或者一周半,划定时间界限,对新增注册账号严密监视。制定好查询脚本对接WAF日志,访问Cookie和账号快速查询通道,社工库。对带有Cookie数据,哪怕产生一点点或者单引号的攻击行为(一般不会有大面积漏扫,只会有不小心的手贱探测),立刻通过Cookie找到账号,对接社工库尝试拿人员身份信息。对于拿到的人员信息输出简单的可疑人员报告,结合HVV全程按需使用。
A8:
我认为蜜罐在未来攻防战场上,依旧存在用武之地,依然有着不可替代作用。常用的:
1.捕获0day;
2.探测红队人员攻击信息(例如攻击人员画像)同时反制攻击者,浪费攻击者攻击时间;
3.在内网主要网段中部署蜜罐,以判断当前红队人员攻击深度和广度。
不过个人感觉未来会更趋向于高交互方式,可能未来蜜罐会出现所有功能与实际生产系统一致的高交互蜜罐(因为就目前情况,和生产系统唯一区别就是蜜罐数据都是假的),这种蜜罐更加注重0day捕获,攻击行为、攻击样本进行分析。
——————————————————
本期精彩观点到此结束啦~此外,FreeBuf会定期开展不同的精彩话题讨论,想了解更多话题和观点,快来扫码免费申请加入FreeBuf甲方群吧!
加入即可获得FreeBuf月刊专辑,还有更多精彩内容尽在FreeBuf甲方会员专属社群,小助手周周送福利,社群周周有惊喜,还不赶快行动?
申请流程:扫码申请-后台审核(2-5个工作日)-邮件通知-加入会员俱乐部
如有疑问,也可扫码添加小助手微信哦!